Google dal Microsoftu 90 dní na opravu bezpečnostní chyby; Microsoft selhal
Bezpečnostní výzkumníci z Google Project Zero veřejně informovali o obrovské bezpečnostní chybě v Microsoft Edge, která umožňuje načítání škodlivého kódu do paměti. Společnost Microsoft však byla o bezpečnostní chybě informována a dostala 90 dní na její opravu, dokud nebude zveřejněna. Microsoft zjevně nedodržel termín.
Výzkumníci Google informovali o bezpečnostní chybě v prohlížeči Microsoft Edge Arbitrary Code Guard (ACG)[1] funkce v listopadu 2017. Microsoft požádal o prodlouženou lhůtu a Google dal dalších 14 dní na opravu chyby a její poskytnutí v únorovém Patch Tuesday.
Záplaty z tohoto měsíce od společnosti Microsoft však neměly opravu této chyby zabezpečení. Společnost říká, že „oprava je složitější, než se původně očekávalo. Očekává se, že oprava bude vydána v nadcházejícím Patch Tuesday 13. března.[2] Není to však potvrzeno.
Zranitelnost Microsoft Edge je hlášena na blogu Chromium
Uživatelé Microsoft Edge by se již neměli cítit bezpečně a dobře. Google zveřejnil informace o chybě a o tom, jak funguje. Každý, kdo hledá chybu, kterou by mohl využít ke spuštění kybernetického útoku, ji nyní může využít.
Výzkumník společnosti Google Ivan Fratric našel zranitelnost v Arbitrary Code Guard (ACG) společnosti Microsoft, která byla hodnocena jako "střední." Chyba ovlivňuje kompilátor Just In Time (JIT) pro JavaScript a umožňuje útočníkům načíst škodlivý kód kód. Problém je popsán v blogu Chromium:[3]
Pokud dojde ke kompromitaci procesu obsahu a proces obsahu může předvídat, na které adrese proces JIT zavolá VirtualAllocEx() jako další (poznámka: je to docela předvídatelné), proces obsahu může:
1. Odmapujte výše namapovanou sdílenou paměť pomocí UnmapViewOfFile()
2. Přidělte zapisovatelnou paměťovou oblast na stejnou adresu, kterou tam server JIT zapíše a zapíše brzy spustitelnou datovou část.
3. Když proces JIT volá VirtualAllocEx(), přestože je paměť již přidělena, bude volání úspěšné a ochrana paměti bude nastavena na PAGE_EXECUTE_READ.
Není to poprvé, co Google veřejně odhaluje nedostatky v produktech Microsoftu
V roce 2016 objevili výzkumníci Google chybu ve Windows 10. Situace byla podobná. Microsoft byl informován o zranitelnosti, která útočníkům umožnila nainstalovat zadní vrátka na počítač se systémem Windows.
Google se však dlouho neodmlčel. Trvalo jim pouhých 10 dní, než odhalili „kritickou“ zranitelnost. Tehdy společnost Google nasadila opravu pro uživatele Google Chrome. Samotný operační systém Windows však zůstává zranitelný.
Poté, co se před dvěma lety objevily zprávy o kritické zranitelnosti, mluvčí Microsoftu řekl, že „zveřejnění ze strany společnosti Google vystavuje zákazníky potenciálnímu riziku“.[4]
Minulý rok Google informoval o „šíleně špatném“[5] zranitelnost ve Windows 10, která umožňovala vzdálené spuštění kódu. Microsoftu se však podařilo problém opravit pomocí nejnovějších aktualizací Patch Tuesday. Zdá se však, že bezpečnostní problémy je možné vyřešit včas.