“Cuộc cạnh tranh thân thiện” bắt đầu từ mùa thu năm trước khi nhóm bảo mật Project Zero của Google bắt đầu báo cáo về các lỗi trên sản phẩm của Microsoft như Internet Explorer, Edge, Windows Defender và Windows OS.
Việc các công ty báo lỗi cho nhau không phải mới, nhưng Google đã đi hơi xa quá khi ít nhất hai lần, họ đã công bố lỗi ra công chúng trước khi Microsoft đưa ra bản vá. Lần đầu tiên là với lỗi trên Windows GDI (Graphics Device Interface) và lần thứ 2 là một lỗi ảnh hưởng tới cả IE và Edge.
Google chỉ trích Microsoft vào đầu tháng
Dù đã đau đầu với vụ công bố lỗi này, Google lại tiếp tục đổ thêm dầu vào lửa khi vào đầu tháng, một trong các nhà nghiên cứu tại Project Zero lại chỉ trích cách MIcrosoft vá lỗi.
Nhà nghiên cứu này nói rằng Microsoft thường đưa ra các bản vá khác nhau cho các bản Windows cũ, khiến OS dễ gặp lỗi bảo mật và khiến kẻ tấn công khai thác lỗ hổng.
Microsoft cũng không phải không biết. Trên blog của mình, họ cũng nói rằng có stifm thấy lỗi bảo mật trên sản phẩm của Google, cụ thể là trên trình duyệt Chrome.
Microsoft cũng có thể tìm ra lỗi trên sản phẩm của Google
Nhóm Offensive Security Research (OSR) của Microsoft cũng tìm ra lỗi và báo cáo tới Google vào tháng 9. Google đã sửa lỗi trên Chrome 61, thậm chí còn trao thưởng cho nỗ lực của các nhà nghiên cứu dến từ Microsoft $15.837, khoản tiền Microsoft dự định làm từ thiện.
Theo Microsoft, lỗ hổng CVE-2017-5121 khiến kẻ tấn công thực thi đoạn mã từ xa trên trình duyệt và có thể gây rò rỉ thông tin nghiêm trọng,
Hầu hết các lỗi mà Google tìm được trên sản phẩm của Microsoft đều dùng cách kiểm thử mở (fuzz test) và hài hước là Microsoft cũng dùng công cụ này để tìm lỗi.
Tóm lại thì cả Microsoft và Google đều chẳng ai hoàn hảo cả
Jordan Rabet, nhà nghiên cứu Microsoft đã tìm ra lỗi, sử dụng ExprGen, công cụ fuzz của Microsoft và dùng trên engine JavaScript Chakra của Edge. Rabet nói anh cũng dùng ExprGen trên V8, engine JavaScript của Chrome để tìm ra CVE-2017-5121.
Tới lượt Microsoft chỉ trích quá trình Google vá lỗi
Bỏ qua các chi tiết kỹ thuật, Microsoft cũng không quên nợ cũ. Rabet chỉ ra rằng bản sửa cho lỗi mà anh tìm ra được đưa lên kho V8 GitHub, khiến kẻ tấn công có thể đảo ngược kỹ thuật vá và tìm ra lỗ hổng khác.
Việc Google mất 3 ngày để khắc phục lỗi trên Chromium và Chrome cũng đủ để kẻ tấn công khai thác lỗ hổng rồi. Vì chuyện đã xảy ra vào tháng 9 nên Microsoft cũng không có lý gì lại nói dài hơn về một lỗi trên Chrome không còn tồn tại. Chrome giờ đã cập nhật lên bản 62.
Xem thêm: Mời tải Google Chrome 62 cho Windows, Mac và Linux
Cũng không lạ gì khi những lời chỉ trích vào đầu tháng 10 về quá trình vá lỗi của Google khiến người Redmond nóng mặt. Họ cũng không quên nhắc Google rằng sản phẩm của họ không phải là pháo đài bất khả xâm phạm như họ nghĩ.