सुरक्षा खामी को ठीक करने के लिए Google ने Microsoft को दिया 90 दिन का समय; माइक्रोसॉफ्ट विफल
Google के प्रोजेक्ट ज़ीरो के सुरक्षा शोधकर्ताओं ने सार्वजनिक रूप से Microsoft एज में एक बड़ी सुरक्षा खामी के बारे में बताया जो एक दुर्भावनापूर्ण कोड को मेमोरी में लोड करने की अनुमति देता है। हालाँकि, Microsoft को सुरक्षा बग के बारे में सूचित किया गया था और इसे सार्वजनिक रूप से प्रकट किए जाने तक इसे ठीक करने के लिए 90 दिनों का समय दिया गया था। जाहिर है, Microsoft समय सीमा को पूरा करने में विफल रहा।
Google के शोधकर्ताओं ने Microsoft एज ब्राउज़र आर्बिट्रेरी कोड गार्ड (ACG) में सुरक्षा दोष के बारे में बताया[1] नवंबर 2017 में फीचर Microsoft ने विस्तारित समय सीमा के लिए कहा, और Google ने बग को ठीक करने और फरवरी के पैच मंगलवार में इसे प्रदान करने के लिए अतिरिक्त 14 दिन का समय दिया।
हालाँकि, Microsoft के इस महीने के पैच में इस भेद्यता के लिए कोई समाधान नहीं था। कंपनी का कहना है कि "शुरुआत में प्रत्याशित की तुलना में फिक्स अधिक जटिल है।" फिक्स को आगामी पैच मंगलवार को 13 मार्च को जारी किए जाने की उम्मीद है।[2] हालांकि, इसकी पुष्टि नहीं हुई है।
क्रोमियम ब्लॉग पर Microsoft एज भेद्यता की सूचना दी गई है
Microsoft Edge उपयोगकर्ताओं को अब सुरक्षित और स्वस्थ महसूस नहीं करना चाहिए। Google ने बग के बारे में जानकारी जारी की और यह कैसे काम करता है। इसलिए, जो कोई भी साइबर हमले को शुरू करने के लिए शोषण करने के लिए एक दोष की तलाश कर रहा है, वह अब इसका लाभ उठा सकता है।
गूगल के शोधकर्ता इवान फ्रैट्रिक ने माइक्रोसॉफ्ट के आर्बिट्रेरी कोड गार्ड (एसीजी) में एक भेद्यता पाई जिसे के रूप में रेट किया गया था "मध्यम।" दोष जावास्क्रिप्ट के लिए जस्ट इन टाइम (जेआईटी) कंपाइलर को प्रभावित करता है और हमलावरों को दुर्भावनापूर्ण लोड करने की अनुमति देता है कोड। क्रोमियम ब्लॉग में समस्या का वर्णन किया गया है:[3]
यदि एक सामग्री प्रक्रिया से समझौता किया गया है और सामग्री प्रक्रिया यह अनुमान लगा सकती है कि JIT प्रक्रिया किस पते पर VirtualAllocEx() को कॉल करने वाली है (नोट: यह काफी अनुमानित है), सामग्री प्रक्रिया कर सकती है:
1. UnmapViewOfFile () का उपयोग करके ऊपर मैप की गई साझा मेमोरी को अनमैप करें
2. उसी पते पर एक लिखने योग्य स्मृति क्षेत्र आवंटित करें जेआईटी सर्वर वहां एक जल्द से जल्द निष्पादन योग्य पेलोड लिखने और लिखने जा रहा है।
3. जब JIT प्रक्रिया VirtualAllocEx () को कॉल करती है, भले ही मेमोरी पहले से ही आवंटित की गई हो, कॉल सफल होने वाली है और मेमोरी प्रोटेक्शन PAGE_EXECUTE_READ पर सेट होने वाली है।
यह पहली बार नहीं है जब Google सार्वजनिक रूप से Microsoft उत्पादों में खामियों का खुलासा करता है
2016 में, Google शोधकर्ताओं ने विंडोज 10 में एक खामी की खोज की। स्थिति समान थी। Microsoft को उस भेद्यता के बारे में सूचित किया गया था जिसने हमलावरों को Windows कंप्यूटर पर पिछले दरवाजे को स्थापित करने की अनुमति दी थी।
हालांकि, गूगल ज्यादा देर तक चुप नहीं रहा। उन्हें "गंभीर" भेद्यता के बारे में खुलासा करने में केवल 10 दिन लगे। उस समय Google ने Google क्रोम उपयोगकर्ताओं के लिए एक फिक्स तैनात किया था। हालाँकि, Windows OS स्वयं असुरक्षित रहता है।
दो साल पहले गंभीर भेद्यता के बारे में खबर सामने आने के बाद, माइक्रोसॉफ्ट के प्रवक्ता ने बताया कि "Google द्वारा प्रकटीकरण ग्राहकों को संभावित जोखिम में डालता है।"[4]
पिछले साल Google ने "क्रेज़ी बैड" के बारे में रिपोर्ट किया था[5] विंडोज 10 में भेद्यता जो रिमोट कोड निष्पादन की अनुमति देती है। हालाँकि, Microsoft नवीनतम पैच मंगलवार अपडेट के साथ समस्या को ठीक करने में कामयाब रहा। हालांकि, ऐसा लगता है कि समय रहते सुरक्षा समस्याओं का समाधान संभव है।