Google maakt kwetsbaarheid in Microsoft Edge bekend zonder dat er een oplossing is

Google heeft details vrijgegeven over een veiligheidsprobleem dat bestaat in Microsoft Edge. Er is nog geen patch voor het probleem uitgebracht, waardoor kwaadwillenden dat in principe zouden kunnen uitbuiten. Microsoft is uiteraard niet blij met de bekendmaking en werkt hard aan een oplossing.

Dat meldt Neowin vandaag. Onderzoekers van Google vonden de kwetsbaarheid afgelopen november en meldden dat aan Microsoft. Normaliter geeft Google teams negentig dagen om een bug op te lossen, maar op het verzoek van Microsoft werd er twee weken extra gegeven. Dat blijkt niet genoeg te zijn geweest.

Volgende maand een oplossing

In eerste instantie dacht Microsoft dat het om een gemiddeld probleem ging, dat prima binnen de gestelde termijn van Google opgelost kon worden. Maar de oplossing bleek complexer en om die reden was het Microsoft niet gelukt om er bij de afgelopen Patch Tuesday een oplossing voor uit te brengen.

Google stelt dat de kwetsbaarheid draait om de Just in Time (JIT)-complier van JavaScript. De kwetsbaarheid kan door een aanvaller gebruikt worden om de adressen van processen te voorspellen en daar kan misbruik van gemaakt worden. Volgens Google zullen niet heel veel mensen door het probleem getroffen worden.

Een oplossing voor de bug volgt als het goed is volgende maand. Of Microsoft Google in de tussentijd had verzocht de kwetsbaarheid alsnog geheim te houden is niet zeker. Wel moge duidelijk zijn dat Microsoft niet heel blij is met de bekendmaking. Er is al vaker onenigheid geweest tussen de twee technologiereuzen en dit zal alleen maar olie op het vuur zijn.