Google ha concesso a Microsoft 90 giorni per correggere la falla di sicurezza; Microsoft ha fallito

I ricercatori di sicurezza del Project Zero di Google hanno riferito pubblicamente di un enorme difetto di sicurezza in Microsoft Edge che consente di caricare un codice dannoso in memoria. Tuttavia, Microsoft è stata informata del bug di sicurezza e ha avuto 90 giorni per risolverlo fino a quando non viene divulgato pubblicamente. Apparentemente, Microsoft non è riuscita a rispettare la scadenza.
Ricercatori di Google hanno segnalato un difetto di sicurezza nel browser Microsoft Edge Arbitrary Code Guard (ACG)[1] funzione nel novembre 2017. Microsoft ha chiesto la proroga della scadenza e Google ha concesso 14 giorni in più per correggere il bug e fornirlo nel Patch Tuesday di febbraio.
Tuttavia, le patch di questo mese di Microsoft non avevano una correzione per questa vulnerabilità. La società afferma che "la correzione è più complessa di quanto inizialmente previsto". La correzione dovrebbe essere rilasciata il prossimo Patch Tuesday il 13 marzo.[2] Tuttavia, non è confermato.
La vulnerabilità di Microsoft Edge è stata segnalata sul blog di Chromium
Gli utenti di Microsoft Edge non dovrebbero più sentirsi sani e salvi. Google ha rilasciato le informazioni sul bug e su come funziona. Pertanto, chiunque sia alla ricerca di una falla da sfruttare per lanciare un attacco informatico ora può trarne vantaggio.
Il ricercatore di Google Ivan Fratric ha scoperto una vulnerabilità nell'Arbitrary Code Guard (ACG) di Microsoft che è stata classificata come "medio." Il difetto interessa il compilatore Just In Time (JIT) per JavaScript e consente agli aggressori di caricare un malware codice. Il problema è descritto nel blog di Chromium:[3]
Se un processo di contenuto è compromesso e il processo di contenuto può prevedere su quale indirizzo il processo JIT chiamerà successivamente VirtualAllocEx() (nota: è abbastanza prevedibile), il processo di contenuto può:
1. Annulla la mappatura della memoria condivisa mappata sopra usando UnmapViewOfFile()
2. Allocare una regione di memoria scrivibile sullo stesso indirizzo che il server JIT sta per scrivere e scrivere lì un payload che sarà presto eseguibile.
3. Quando il processo JIT chiama VirtualAllocEx(), anche se la memoria è già allocata, la chiamata avrà esito positivo e la protezione della memoria verrà impostata su PAGE_EXECUTE_READ.
Non è la prima volta che Google rivela pubblicamente difetti nei prodotti Microsoft
Nel 2016, i ricercatori di Google hanno scoperto un difetto in Windows 10. La situazione era simile. Microsoft è stata informata della vulnerabilità che ha consentito agli aggressori di installare una backdoor su un computer Windows.
Tuttavia, Google non è rimasta a lungo in silenzio. Ci sono voluti solo 10 giorni per rivelare la vulnerabilità "critica". Allora Google aveva implementato una correzione per gli utenti di Google Chrome. Tuttavia, il sistema operativo Windows stesso rimane vulnerabile.
Dopo che la notizia sulla vulnerabilità critica è emersa due anni fa, il portavoce di Microsoft ha dichiarato che "la divulgazione da parte di Google mette i clienti a rischio potenziale".[4]
L'anno scorso Google ha riferito di "pazzo cattivo"[5] vulnerabilità in Windows 10 che consentiva l'esecuzione di codice in modalità remota. Tuttavia, Microsoft è riuscita a risolvere il problema con gli ultimi aggiornamenti del Patch Tuesday. Tuttavia, sembra che sia possibile risolvere i problemi di sicurezza in tempo.