Google gav Microsoft 90 dage til at rette sikkerhedsfejl; Microsoft mislykkedes
Sikkerhedsforskere ved Googles Project Zero rapporterede offentligt om en enorm sikkerhedsfejl i Microsoft Edge, som gør det muligt at indlæse en ondsindet kode i hukommelsen. Microsoft blev dog underrettet om sikkerhedsfejlen og fik 90 dage til at rette den, indtil den bliver offentliggjort. Tilsyneladende har Microsoft ikke overholdt deadline.
Google-forskere rapporterede om en sikkerhedsfejl i Microsoft Edge-browseren Arbitrary Code Guard (ACG)[1] indslag i november 2017. Microsoft bad om den forlængede frist, og Google gav 14 dage ekstra til at rette fejlen og levere den i februars Patch Tuesday.
Denne måneds patches fra Microsoft havde dog ikke en rettelse til denne sårbarhed. Virksomheden siger, at "rettelsen er mere kompleks end oprindeligt forventet." Rettelsen forventes at blive frigivet på kommende Patch Tuesday den 13. marts.[2] Det er dog ikke bekræftet.
Microsoft Edge-sårbarhed rapporteres på Chromium-bloggen
Microsoft Edge-brugere skal ikke længere føle sig trygge og sunde. Google udgav oplysningerne om fejlen, og hvordan den fungerer. Derfor kan enhver, der leder efter en fejl at udnytte for at iværksætte et cyberangreb, nu drage fordel af det.
Google-forsker Ivan Fratric fandt en sårbarhed i Microsofts Arbitrary Code Guard (ACG), som blev vurderet som "medium." Fejlen påvirker Just In Time (JIT) compiler til JavaScript og tillader angribere at indlæse en ondsindet kode. Problemet er beskrevet i Chromium blog:[3]
Hvis en indholdsproces er kompromitteret, og indholdsprocessen kan forudsige, hvilken adresse JIT-processen vil kalde VirtualAllocEx() næste gang (bemærk: den er ret forudsigelig), kan indholdsprocessen:
1. Fjern kortlægningen af den delte hukommelse kortlagt ovenfor ved hjælp af UnmapViewOfFile()
2. Tildel en skrivbar hukommelsesregion på den samme adresse. JIT-serveren vil skrive og skrive en snart-eksekverbar nyttelast der.
3. Når JIT-processen kalder VirtualAllocEx(), selvom hukommelsen allerede er allokeret, vil opkaldet lykkes, og hukommelsesbeskyttelsen vil blive sat til PAGE_EXECUTE_READ.
Det er ikke første gang, at Google offentligt afslører fejl i Microsoft-produkter
I 2016 opdagede Google-forskere en fejl i Windows 10. Situationen var den samme. Microsoft blev informeret om den sårbarhed, der gjorde det muligt for angribere at installere en bagdør på Windows-computeren.
Google forblev dog ikke stille længe. Det tog kun 10 dage at afsløre om "kritisk" sårbarhed. Dengang havde Google implementeret en rettelse til Google Chrome-brugere. Windows OS selv forbliver dog sårbart.
Efter nyheden om kritisk sårbarhed dukkede op for to år siden, fortalte Microsofts talsmand, at "afsløring fra Google sætter kunder i potentiel risiko."[4]
Sidste år rapporterede Google om "crazy bad"[5] sårbarhed i Windows 10, der tillod fjernudførelse af kode. Microsoft formåede dog at løse problemet med de seneste Patch Tuesday-opdateringer. Det ser dog ud til, at det er muligt at løse sikkerhedsproblemer i tide.