Google antoi Microsoftille 90 päivää aikaa korjata tietoturvavirhe; Microsoft epäonnistui
Googlen Project Zeron tietoturvatutkijat raportoivat julkisesti Microsoft Edgen valtavasta tietoturvavirheestä, joka mahdollistaa haitallisen koodin lataamisen muistiin. Microsoftille kuitenkin ilmoitettiin tietoturvavirheestä ja sille annettiin 90 päivää aikaa korjata se, kunnes se julkistetaan. Ilmeisesti Microsoft ei noudattanut määräaikaa.
Googlen tutkijat ilmoittivat tietoturvavirheestä Microsoft Edge -selaimen Arbitrary Code Guard (ACG) -palvelussa.[1] ominaisuus marraskuussa 2017. Microsoft pyysi pidennettyä määräaikaa, ja Google antoi 14 päivää lisää aikaa korjata virhe ja toimittaa se helmikuun korjaustiistaina.
Tämän kuun Microsoftin korjauspäivityksissä ei kuitenkaan ollut korjausta tähän haavoittuvuuteen. Yhtiö sanoo, että "korjaus on monimutkaisempi kuin alun perin odotettiin." Korjauksen odotetaan julkaistavan tulevana korjaustiistaina 13. maaliskuuta.[2] Sitä ei kuitenkaan ole vahvistettu.
Microsoft Edgen haavoittuvuudesta on raportoitu Chromium-blogissa
Microsoft Edgen käyttäjien ei pitäisi enää tuntea oloaan turvalliseksi. Google julkaisi tiedot virheestä ja sen toiminnasta. Siksi jokainen, joka etsii virhettä, jota voidaan hyödyntää kyberhyökkäyksen käynnistämiseksi, voi nyt hyödyntää sitä.
Googlen tutkija Ivan Fratric löysi Microsoftin Arbitrary Code Guardissa (ACG) haavoittuvuuden, joka on luokiteltu "keskikokoinen." Virhe vaikuttaa Just In Time (JIT) -kääntäjään JavaScriptille ja sallii hyökkääjien ladata haitallisen koodi. Ongelma on kuvattu Chromium-blogissa:[3]
Jos sisältöprosessi vaarantuu ja sisältöprosessi voi ennustaa, missä osoitteessa JIT-prosessi aikoo kutsua VirtualAllocEx():tä seuraavaksi (huomaa: se on melko ennustettavissa), sisältöprosessi voi:
1. Pura yllä kartoitetun jaetun muistin kartta käyttämällä UnmapViewOfFile()
2. Varaa kirjoitettava muistialue samaan osoitteeseen, johon JIT-palvelin kirjoittaa, ja kirjoittaa sinne pian suoritettavan hyötykuorman.
3. Kun JIT-prosessi kutsuu VirtualAllocEx(), vaikka muisti on jo varattu, puhelu onnistuu ja muistin suojaksi asetetaan PAGE_EXECUTE_READ.
Tämä ei ole ensimmäinen kerta, kun Google paljastaa Microsoftin tuotteiden puutteet
Vuonna 2016 Googlen tutkijat löysivät virheen Windows 10:ssä. Tilanne oli samanlainen. Microsoftille kerrottiin haavoittuvuudesta, jonka ansiosta hyökkääjät pystyivät asentamaan takaoven Windows-tietokoneeseen.
Google ei kuitenkaan pysynyt pitkään hiljaa. Heillä kului vain 10 päivää paljastaa "kriittistä" haavoittuvuutta. Tuolloin Google oli ottanut käyttöön korjauksen Google Chromen käyttäjille. Itse Windows-käyttöjärjestelmä on kuitenkin edelleen haavoittuvainen.
Kun uutiset kriittisestä haavoittuvuudesta tulivat ilmi kaksi vuotta sitten, Microsoftin tiedottaja kertoi, että "Googlen paljastaminen saattaa asiakkaat vaaraan."[4]
Viime vuonna Google raportoi "hullusta pahasta"[5] Windows 10:n haavoittuvuus, joka salli koodin etäsuorittamisen. Microsoft onnistui kuitenkin korjaamaan ongelman uusimmilla Patch Tuesday -päivityksillä. Vaikuttaa kuitenkin siltä, että tietoturvaongelmat voidaan ratkaista ajoissa.