Google andis Microsoftile 90 päeva aega turvavea parandamiseks; Microsoft ebaõnnestus
Google'i Project Zero turvateadlased teatasid avalikult Microsoft Edge'i tohutust turvaveast, mis võimaldab laadida mällu pahatahtliku koodi. Microsofti aga teavitati turvaveast ja talle anti 90 päeva aega selle parandamiseks, kuni see avalikult avalikustatakse. Ilmselt ei suutnud Microsoft tähtajast kinni pidada.
Google'i teadlased teatasid turvaveast Microsoft Edge'i brauseris Arbitrary Code Guard (ACG)[1] funktsioon 2017. aasta novembris. Microsoft palus pikendada tähtaega ja Google andis 14 päeva lisaaega vea parandamiseks ja selle esitamiseks veebruaris.
Microsofti selle kuu paikades seda haavatavust siiski ei parandatud. Ettevõte ütleb, et "parandus on keerulisem, kui esialgu arvati." Parandus avaldatakse eeldatavasti eelseisval paiga teisipäeval 13. märtsil.[2] Seda aga ei kinnitata.
Chromiumi ajaveebis teatatakse Microsoft Edge'i haavatavusest
Microsoft Edge'i kasutajad ei peaks end enam turvaliselt tundma. Google avaldas teabe vea ja selle toimimise kohta. Seetõttu saavad nüüd kõik, kes otsivad viga, mida küberrünnaku käivitamiseks ära kasutada, seda ära kasutada.
Google'i teadlane Ivan Fratric leidis Microsofti Arbitrary Code Guard'is (ACG) haavatavuse, mis sai hinnangu kui "keskmine." Viga mõjutab JavaScripti Just In Time (JIT) kompilaatorit ja võimaldab ründajatel laadida pahatahtlikku kood. Probleemi kirjeldatakse Chromiumi ajaveebis:[3]
Kui sisuprotsess on ohus ja sisuprotsess suudab ennustada, millisel aadressil JIT-protsess järgmisena VirtualAllocEx() kutsub (märkus: see on üsna prognoositav), võib sisuprotsess:
1. Eemaldage ülaltoodud ühismälu kaardistus, kasutades UnmapViewOfFile()
2. Jaotage kirjutatav mälupiirkond samal aadressil, mida JIT-server hakkab kirjutama, ja kirjutage sinna peagi käivitatav kasulik koormus.
3. Kui JIT-protsess kutsub välja VirtualAllocEx(), isegi kui mälu on juba eraldatud, õnnestub kõne ja mälukaitseks määratakse PAGE_EXECUTE_READ.
See pole esimene kord, kui Google avalikustab Microsofti toodete puudused
2016. aastal avastasid Google'i teadlased Windows 10-s vea. Olukord oli sarnane. Microsofti teavitati haavatavusest, mis võimaldas ründajatel installida Windowsi arvutisse tagaukse.
Google ei vaikinud aga kauaks. Neil kulus "kriitilise" haavatavuse avalikustamiseks vaid 10 päeva. Sel ajal oli Google Google Chrome'i kasutajatele paranduse juurutanud. Windowsi OS ise jääb aga haavatavaks.
Pärast seda, kui kaks aastat tagasi ilmus uudis kriitilise haavatavuse kohta, ütles Microsofti pressiesindaja, et "Google'i avalikustamine seab kliendid potentsiaalsesse ohtu."[4]
Eelmisel aastal teatas Google "hullult halvast"[5] haavatavus operatsioonisüsteemis Windows 10, mis võimaldas koodi kaugkäivitamist. Microsoft suutis aga probleemi lahendada viimaste Patch Teisipäeva värskendustega. Siiski tundub, et turvaprobleeme on võimalik õigeaegselt lahendada.