Il team di sicurezza Project Zero di Google ha identificato una falla di media importanza in Microsoft Edge. E ne ha pubblicato i dettagli prima che l’azienda di Redmond risolvesse il bug. Big G ha atteso i canonici novanta giorni dalla notifica privata a Microsoft prima di consegnare il materiale in pasto alla Rete. Nello specifico, la vulnerabilità riguarda le modalità con cui Edge gestisce l’esecuzione di codice e il suo caricamento in memoria. Se sfruttato in modo adeguato, il baco può consegnare il sistema nelle mani dell’hacker. Un ricercatore di Project Zero, Ivan Fratric, ha scoperto che un cybercriminale può superare la funzionalità di protezione Arbitrary Code Guard (Acg, introdotta con l’aggiornamento Creators Update del 2017) caricando nella memoria codice non firmato ed eseguendo script maligni nascosti dietro una pagina Web contraffatta.
Sembra che Big G avesse dato a Microsoft altri 14 giorni per risolvere il bug, ma a causa della complessità della falla il colosso di Redmond non sarebbe riuscito a rispettare nemmeno questa deadline e avrebbe mancato l’occasione del Patch Tuesday di febbraio. Il tutto è stato rimandato a marzo. Google si è quindi vista “costretta” a pubblicare i dettagli della scoperta, in modo da esercitare ulteriore pressione sul competitor. Il quale non sarà certamente contento dell’operato di Big G.
Già in passato infatti le due società erano venute ai ferri corti sulla questione sicurezza. Microsoft ha tacciato più volte Mountain View di irresponsabilità per aver diffuso informazioni sensibili prima che le vulnerabilità venissero risolte. Una diatriba che ha diviso in due l’opinione pubblica, fra chi ha sempre sostenuto la correttezza dell’operato di Google e il suo diritto di esercitare pressione sulle altre aziende in termini di cybersecurity e chi, invece, ha sollevato la preoccupazione di avere messo nelle mani sbagliate questi dati.