Google mengungkapkan kelemahan keamanan di Edge yang terlambat diperbaiki oleh Microsoft

Google memberi Microsoft waktu 90 hari untuk memperbaiki kelemahan keamanan; Microsoft gagal

Google mengungkapkan kelemahan keamanan di Microsoft Edge

Peneliti keamanan di Project Zero Google secara terbuka melaporkan tentang kelemahan keamanan besar di Microsoft Edge yang memungkinkan memuat kode berbahaya ke dalam memori. Namun, Microsoft telah diberitahu tentang bug keamanan dan diberi waktu 90 hari untuk memperbaikinya hingga diungkapkan secara publik. Ternyata, Microsoft gagal memenuhi tenggat waktu.

Peneliti Google melaporkan tentang kelemahan keamanan di browser Microsoft Edge Arbitrary Code Guard (ACG)[1] fitur pada November 2017. Microsoft meminta tenggat waktu yang diperpanjang, dan Google memberikan tambahan 14 hari untuk memperbaiki bug dan menyediakannya di Patch Selasa Februari.

Namun, patch bulan ini dari Microsoft tidak memiliki perbaikan untuk kerentanan ini. Perusahaan mengatakan bahwa "perbaikannya lebih kompleks daripada yang diantisipasi sebelumnya." Perbaikan ini diharapkan akan dirilis pada Patch Selasa mendatang pada 13 Maret.[2] Namun, itu tidak dikonfirmasi.

Kerentanan Microsoft Edge dilaporkan di blog Chromium

Pengguna Microsoft Edge seharusnya tidak lagi merasa aman dan sehat. Google merilis informasi tentang bug dan cara kerjanya. Oleh karena itu, siapa pun yang mencari celah untuk dieksploitasi untuk melancarkan serangan siber kini dapat memanfaatkannya.

Peneliti Google Ivan Fratric menemukan kerentanan di Arbitrary Code Guard (ACG) Microsoft yang dinilai sebagai "sedang." Cacat ini memengaruhi kompiler Just In Time (JIT) untuk JavaScript dan memungkinkan penyerang memuat malware kode. Masalahnya dijelaskan di blog Chromium:[3]

Jika proses konten dikompromikan dan proses konten dapat memprediksi alamat mana yang akan dipanggil oleh proses JIT VirtualAllocEx() berikutnya (catatan: cukup dapat diprediksi), proses konten dapat:

1. Buka peta memori bersama yang dipetakan di atas menggunakan UnmapViewOfFile()
2. Alokasikan wilayah memori yang dapat ditulis pada alamat yang sama, server JIT akan menulis dan menulis muatan yang akan segera dieksekusi di sana.
3. Ketika proses JIT memanggil VirtualAllocEx(), meskipun memori sudah dialokasikan, panggilan akan berhasil dan perlindungan memori akan diatur ke PAGE_EXECUTE_READ.

Ini bukan pertama kalinya Google secara terbuka mengungkapkan kekurangan dalam produk Microsoft

Pada tahun 2016, peneliti Google menemukan kelemahan pada Windows 10. Situasinya serupa. Microsoft diberitahu tentang kerentanan yang memungkinkan penyerang memasang pintu belakang di komputer Windows.

Namun, Google tidak tinggal lama. Mereka hanya membutuhkan waktu 10 hari untuk mengungkapkan tentang kerentanan "kritis". Saat itu Google telah menerapkan perbaikan untuk pengguna Google Chrome. Namun, OS Windows sendiri tetap rentan.

Setelah berita tentang kerentanan kritis muncul dua tahun lalu, juru bicara Microsoft mengatakan bahwa "pengungkapan oleh Google menempatkan pelanggan pada risiko potensial."[4]

Tahun lalu Google melaporkan tentang "gila gila"[5] kerentanan di Windows 10 yang memungkinkan eksekusi kode jarak jauh. Namun, Microsoft berhasil memperbaiki masalah dengan pembaruan Patch Tuesday terbaru. Padahal, tampaknya mungkin untuk menyelesaikan masalah keamanan tepat waktu.