גוגל חושפת ליקוי אבטחה ב-Edge שמיקרוסופט איחרה לתקן

MiscellaneaDec 20, 2021
click fraud protection

גוגל נתנה למיקרוסופט 90 יום לתקן ליקוי אבטחה; מיקרוסופט נכשלה

גוגל חושפת ליקוי אבטחה ב-Microsoft Edge

חוקרי אבטחה ב-Project Zero של גוגל דיווחו בפומבי על ליקוי אבטחה ענק ב-Microsoft Edge המאפשר טעינת קוד זדוני לזיכרון. עם זאת, מיקרוסופט קיבלה הודעה על באג האבטחה וקיבלו 90 יום לתקן אותו עד שהוא ייחשף לציבור. ככל הנראה, מיקרוסופט לא הצליחה לעמוד בתאריך היעד.

חוקרי גוגל דיווחו על ליקוי אבטחה בדפדפן Microsoft Edge Arbitrary Code Guard (ACG)[1] תכונה בנובמבר 2017. מיקרוסופט ביקשה את המועד המוארך, וגוגל נתנה 14 ימים נוספים לתקן את הבאג ולספק אותו ביום שלישי של פברואר.

עם זאת, לתיקונים החודש ממיקרוסופט לא היה תיקון לפגיעות זו. החברה אומרת כי "התיקון מורכב יותר ממה שציפינו בתחילה". התיקון צפוי להתפרסם ביום שלישי הקרוב בתיקון ב-13 במרץ.[2] עם זאת, זה לא אושר.

פגיעות Microsoft Edge מדווחת בבלוג Chromium

משתמשי Microsoft Edge כבר לא צריכים להרגיש בטוחים ושלמים. גוגל פרסמה את המידע על הבאג וכיצד הוא פועל. לכן, כל מי שמחפש פגם לנצל על מנת לצאת למתקפת סייבר יכול כעת לנצל זאת.

חוקר גוגל, איוון פראטריק, מצא פגיעות ב-ACG של מיקרוסופט, שדורגה כ "בינוני." הפגם משפיע על מהדר Just In Time (JIT) עבור JavaScript ומאפשר לתוקפים לטעון קובץ זדוני קוד. הבעיה מתוארת בבלוג Chromium:

[3]

אם תהליך תוכן נפגע ותהליך התוכן יכול לחזות באיזו כתובת תהליך JIT הולך לקרוא ל-VirtualAllocEx() הבא (הערה: הוא די צפוי), תהליך התוכן יכול:

1. בטל את מיפוי הזיכרון המשותף שמופה למעלה באמצעות UnmapViewOfFile()
2. הקצאת אזור זיכרון בר כתיבה באותה כתובת שרת JIT הולך לכתוב ולכתוב שם מטען שניתן להפעיל בקרוב.
3. כאשר תהליך JIT קורא ל-VirtualAllocEx(), למרות שהזיכרון כבר מוקצה, הקריאה הולכת להצליח והגנת הזיכרון תוגדר ל-PAGE_EXECUTE_READ.

זו לא הפעם הראשונה שבה גוגל חושפת בפומבי פגמים במוצרי מיקרוסופט

בשנת 2016, חוקרי גוגל גילו פגם ב-Windows 10. המצב היה דומה. מיקרוסופט עודכנה על הפגיעות שאפשרה לתוקפים להתקין דלת אחורית במחשב Windows.

עם זאת, גוגל לא שתק זמן רב. לקח להם רק 10 ימים לחשוף על פגיעות "קריטית". אז גוגל פרסה תיקון עבור משתמשי Google Chrome. עם זאת, מערכת ההפעלה של Windows עצמה נותרה פגיעה.

לאחר שהחדשות על פגיעות קריטית עלו לפני שנתיים, דובר מיקרוסופט אמר כי "חשיפה של גוגל מעמידה לקוחות בסיכון פוטנציאלי".[4]

בשנה שעברה גוגל דיווחה על "רע בטירוף"[5] פגיעות ב-Windows 10 שאפשרה ביצוע קוד מרחוק. עם זאת, מיקרוסופט הצליחה לתקן את הבעיה עם העדכונים האחרונים של Patch Tuesday. עם זאת, נראה שאפשר לפתור בעיות אבטחה בזמן.