A Google részleteket árult el a Microsoft Edge webböngészőjének elég súlyos hibájáról, de a Microsoft csak március közepéig tudja orvosolni a problémát.
A hiba lehetővé teszi, hogy a támadók megkerüljék az Edge biztonsági funkcióját, az úgynevezett önkényes kódvédőt (ACG), amely megakadályozza a rosszindulatú JavaScript végrehajtását egy weboldalon. A Google Project Zero csapatának hibakeresői november 17 -én találták meg a hibát, és a Microsoftnak 90 napot adtak a javításra, mielőtt a Google felfedte a hibát.
De a határidő napján, február 15-én a Microsoft közölte a Project Zero-val, hogy nem fogja tudni betartani a határidőt, még akkor sem, ha a Project Zero nyilvánvalóan kéthetes meghosszabbítást nyújtott. A Google szóvá tette tehát a hibát, amelynek javítása március 13 -án érkezik a Microsoft következő javítás keddi ütemezett frissítésével.
Az Edge felhasználók addig tartózkodhatnak a Microsoft zászlóshajója használatától.
TOVÁBB: Edge vs Chrome vs. Firefox: Battle of the Windows 10 Browsers
Az ezüst bélés itt az, hogy ezt a hibát "önmagában nem lehet kihasználni", ahogy a Google Project Zero kutatója, Ivan Fratric írta az eredeti blogbejegyzéséhez fűzött megjegyzésében.
Valaki más Edge böngészőjének megtámadásához az első lépés az lenne, ha megfertőzne vagy más módon veszélyeztetne egy másik folyamatot a böngészőjében. Csak ezt követően tudna folytatni a második lépést: Ezzel az új hibával rosszindulatú kódot cserélhetne be az Edge futó memóriájának pontosan megfelelő pontján, hogy a kód lecserélje az Edge ACG folyamatában futni készülő jóindulatú kódot.
"A támadónak először egy külön sebezhetőséget kell kihasználnia, hogy bizonyos képességeket szerezzen az Edge tartalmi folyamatában (például tetszőleges memóriahelyek olvasása és írása)" - írta Fratric, "ezt követően ezt a sebezhetőséget további képességek megszerzésére használhatják fel" (mégpedig tetszőleges gépi kód futtatásának képessége). "
A rossz hír az, hogy az első lépés valószínűleg a szakképzett hackerek és a megfelelően kidolgozott rosszindulatú programok elérhetőségében van. Fratric eredeti blogbejegyzése, amely most mindenki számára elérhető, pontosan megmutatja, hogyan kell továbblépni a második lépéshez. Fogadhat, hogy a rosszfiúk azon dolgoznak, hogy megvalósítsák Fratric koncepció-bizonyító kihasználását, mielőtt a javítás március 13-án elkészül.
Fratric a tervek szerint április 27 -én a Miami Beach -i Infiltrate biztonsági konferencián még többet fog elmagyarázni ennek működéséről.
Kép jóváírása: T.Dallas/Shutterstock
- Hogyan növelhető az adatvédelem a Microsoft Edge alkalmazásban
- Meltdown és Spectre: Hogyan védheti meg számítógépét, Mac -jét és telefonját
- A legjobb Windows 10 témák (és hogyan lehet letölteni őket)