أعطت Google لشركة Microsoft 90 يومًا لإصلاح ثغرة أمنية ؛ مايكروسوفت فشلت
أبلغ باحثو الأمن في Project Zero التابع لشركة Google علنًا عن ثغرة أمنية ضخمة في Microsoft Edge والتي تسمح بتحميل رمز ضار في الذاكرة. ومع ذلك ، تم إخطار Microsoft بشأن الخطأ الأمني ومنحها 90 يومًا لإصلاحه حتى يتم الكشف عنه علنًا. على ما يبدو ، فشلت Microsoft في الوفاء بالموعد النهائي.
أبلغ باحثو Google عن ثغرة أمنية في متصفح Microsoft Edge Arbitrary Code Guard (ACG)[1] ميزة في نوفمبر 2017. طلبت Microsoft تمديد الموعد النهائي ، ومنحت Google 14 يومًا إضافيًا لإصلاح الخطأ وتقديمه في يوم الثلاثاء التصحيح لشهر فبراير.
ومع ذلك ، لم يكن لدى تصحيحات هذا الشهر من Microsoft إصلاح لهذه الثغرة الأمنية. تقول الشركة إن "الإصلاح أكثر تعقيدًا مما كان متوقعًا في البداية". من المتوقع أن يتم إصدار الإصلاح في يوم الثلاثاء القادم في 13 مارس.[2] ومع ذلك ، لم يتم تأكيد ذلك.
تم الإبلاغ عن ثغرة أمنية في Microsoft Edge على مدونة Chromium
يجب ألا يشعر مستخدمو Microsoft Edge بالأمان والسلامة. أصدرت Google المعلومات حول الخطأ وكيفية عمله. لذلك ، يمكن لأي شخص يبحث عن ثغرة لاستغلالها لشن هجوم إلكتروني أن يستفيد منه الآن.
وجد الباحث في Google ، إيفان فراتريك ، ثغرة أمنية في حماية التعليمات البرمجية التعسفية (ACG) من Microsoft والتي تم تصنيفها على أنها "متوسط." يؤثر الخلل على مترجم Just In Time (JIT) لجافا سكريبت ويسمح للمهاجمين بتحميل برنامج ضار الشفرة. تم وصف المشكلة في مدونة Chromium:[3]
إذا تم اختراق عملية المحتوى ويمكن لعملية المحتوى أن تتنبأ بالعنوان الذي ستقوم عملية JIT باستدعاء VirtualAllocEx () بعده (ملاحظة: يمكن التنبؤ بها إلى حد ما) ، يمكن لعملية المحتوى:
1. قم بفك تعيين الذاكرة المشتركة المعينة أعلاه باستخدام UnmapViewOfFile ()
2. تخصيص منطقة ذاكرة قابلة للكتابة على نفس العنوان سيقوم خادم JIT بكتابة وكتابة حمولة قابلة للتنفيذ قريبًا.
3. عندما تستدعي عملية JIT VirtualAllocEx () ، على الرغم من تخصيص الذاكرة بالفعل ، ستنجح المكالمة وسيتم تعيين حماية الذاكرة على PAGE_EXECUTE_READ.
ليست هذه هي المرة الأولى التي تكشف فيها Google علنًا عن عيوب في منتجات Microsoft
في عام 2016 ، اكتشف باحثو Google عيبًا في نظام التشغيل Windows 10. كان الوضع مشابهًا. تم إبلاغ Microsoft بالثغرة الأمنية التي سمحت للمهاجمين بتثبيت باب خلفي على كمبيوتر يعمل بنظام Windows.
ومع ذلك ، لم تظل Google صامتة لفترة طويلة. لقد استغرقوا 10 أيام فقط للكشف عن نقاط الضعف "الحرجة". في ذلك الوقت ، نشرت Google إصلاحًا لمستخدمي Google Chrome. ومع ذلك ، يظل نظام التشغيل Windows نفسه عرضة للخطر.
بعد ظهور الأخبار حول الثغرات الخطيرة قبل عامين ، قال المتحدث باسم Microsoft إن "الكشف من قبل Google يعرض العملاء لخطر محتمل."[4]
أبلغت Google العام الماضي عن "crazy bad"[5] ثغرة أمنية في نظام التشغيل Windows 10 والتي سمحت بتنفيذ التعليمات البرمجية عن بُعد. ومع ذلك ، تمكنت Microsoft من حل المشكلة مع آخر تحديثات Patch Tuesday. رغم ذلك ، يبدو أنه من الممكن حل المشكلات الأمنية في الوقت المناسب.