Google gaf Microsoft 90 dagen om de beveiligingsfout te herstellen; Microsoft is mislukt
Beveiligingsonderzoekers van Google's Project Zero rapporteerden publiekelijk over een enorme beveiligingsfout in Microsoft Edge waardoor een kwaadaardige code in het geheugen kan worden geladen. Microsoft werd echter op de hoogte gebracht van de beveiligingsfout en kreeg 90 dagen om het te repareren totdat het openbaar werd gemaakt. Blijkbaar heeft Microsoft de deadline niet gehaald.
Google-onderzoekers rapporteren over een beveiligingsfout in Microsoft Edge-browser Arbitrary Code Guard (ACG)[1] functie in november 2017. Microsoft vroeg om de verlengde deadline en Google gaf 14 dagen extra om de bug op te lossen en deze in de patch-dinsdag van februari aan te bieden.
De patches van Microsoft van deze maand hadden echter geen oplossing voor dit beveiligingslek. Het bedrijf zegt dat "de oplossing complexer is dan aanvankelijk werd verwacht." De fix wordt naar verwachting vrijgegeven op de aankomende Patch Tuesday op 13 maart.[2] Het is echter niet bevestigd.
Microsoft Edge-kwetsbaarheid is gemeld op Chromium-blog
Microsoft Edge-gebruikers zouden zich niet langer veilig en gezond moeten voelen. Google heeft informatie vrijgegeven over de bug en hoe deze werkt. Daarom kan iedereen die op zoek is naar een fout om uit te buiten om een cyberaanval uit te voeren, hiervan profiteren.
Google-onderzoeker Ivan Fratric vond een kwetsbaarheid in de Arbitrary Code Guard (ACG) van Microsoft, die werd beoordeeld als "medium." De fout treft de Just In Time (JIT)-compiler voor JavaScript en stelt aanvallers in staat een kwaadwillend te laden code. Het probleem wordt beschreven in de Chromium-blog:[3]
Als een inhoudsproces is gecompromitteerd en het inhoudsproces kan voorspellen op welk adres het JIT-proces VirtualAllocEx() vervolgens gaat aanroepen (let op: het is redelijk voorspelbaar), kan het inhoudsproces:
1. Maak de kaart van het hierboven afgebeelde gedeelde geheugen ongedaan met behulp van UnmapViewOfFile()
2. Wijs een beschrijfbaar geheugengebied toe op hetzelfde adres dat de JIT-server gaat schrijven en schrijf daar een uitvoerbare payload.
3. Wanneer het JIT-proces VirtualAllocEx() aanroept, hoewel het geheugen al is toegewezen, zal de aanroep slagen en wordt de geheugenbeveiliging ingesteld op PAGE_EXECUTE_READ.
Het is niet de eerste keer dat Google fouten in Microsoft-producten openbaar maakt
In 2016 ontdekten Google-onderzoekers een fout in Windows 10. De situatie was vergelijkbaar. Microsoft is geïnformeerd over het beveiligingslek waardoor aanvallers een achterdeur op een Windows-computer konden installeren.
Google bleef echter niet lang stil. Ze hadden slechts 10 dagen nodig om te onthullen over "kritieke" kwetsbaarheid. Destijds had Google een oplossing voor Google Chrome-gebruikers geïmplementeerd. Windows OS zelf blijft echter kwetsbaar.
Nadat het nieuws over kritieke kwetsbaarheid twee jaar geleden naar voren kwam, vertelde een Microsoft-woordvoerder dat "openbaarmaking door Google klanten een potentieel risico vormt".[4]
Vorig jaar berichtte Google over 'crazy bad'[5] kwetsbaarheid in Windows 10 waardoor externe code kan worden uitgevoerd. Microsoft is er echter in geslaagd het probleem op te lossen met de nieuwste Patch Tuesday-updates. Het lijkt er echter op dat het mogelijk is om beveiligingsproblemen op tijd op te lossen.