De kwetsbaarheid (bekend als CVE-2017-5121) kan worden misbruikt om code uit te voeren op de computer van het slachtoffer. Daarnaast kunnen malafide hackers meekijken met en/of infiltreren in webdiensten, documenten, e-mails en online bankieren.

Microsoft bekritiseert de manier waarop Google de browser beveiligt. "Het gebrek aan RCE mitigations dat Google hanteert zorgt ervoor dat de weg van geheugencorruptie-bug naar exploit erg kort kan zijn." Het bedrijf vertelt in geuren en kleuren in een blogpost wat er allemaal mis is met de browser. Microsoft grijpt dit moment ook direct aan om eigen browser, Edge, te promoten als veiligere browser. De browser van Microsoft gebruikt een andere aanpak om zichzelf (en Windows 10) te beveiligen waardoor het moeilijker is op deze manier in te breken.

Patch?

Microsoft heeft de kwetsbaarheid in Chrome ontdekt door dezelfde methode te gebruiken die Google zelf gebruikt om bugs en kwetsbaarheden te ontdekken in de software van Microsoft.

Google heeft overigens al een patch beschikbaar, deze is echter alleen uitgerold voor betaversies van Chrome en kan gevonden worden op deze Github-pagina. Microsoft tikt Google op de vingers dat deze manier van probleemoplossing niet veilig is. Het bedrijf uit Redmond zegt dat het beter is de fix eerst uit te brengen alvorens informatie naar buiten te brengen over dit soort bugs. Het heeft namelijk een maand geduurd voordat Google de patch gereed had en al die tijd stond de fix voor beta-versies al in Github. Malafide hackers hadden deze informatie kunnen misbruiken om ongepatchte browsers aan te vallen.

Google heeft Microsoft uiteindelijk 15.837 dollar betaald (bug bounty beloning) en nog eens een donatie van 30.000 dollar gedaan aan het Denise Louie Education Center.