Google ga Microsoft 90 dager til å fikse sikkerhetsfeil; Microsoft mislyktes
Sikkerhetsforskere ved Googles Project Zero rapporterte offentlig om en stor sikkerhetsfeil i Microsoft Edge som gjør det mulig å laste inn en ondsinnet kode i minnet. Microsoft ble imidlertid varslet om sikkerhetsfeilen og fikk 90 dager på seg til å fikse den til den blir offentliggjort. Tilsynelatende klarte ikke Microsoft å overholde fristen.
Google-forskere rapporterte om en sikkerhetsfeil i Microsoft Edge-nettleseren Arbitrary Code Guard (ACG)[1] funksjon i november 2017. Microsoft ba om den utvidede fristen, og Google ga 14 dager ekstra på å fikse feilen og gi den i februars patch tirsdag.
Denne månedens patcher fra Microsoft hadde imidlertid ikke en løsning på dette sikkerhetsproblemet. Selskapet sier at "løsningen er mer kompleks enn først antatt." Reparasjonen forventes å bli utgitt på kommende Patch Tuesday den 13. mars.[2] Det er imidlertid ikke bekreftet.
Microsoft Edge-sårbarhet rapporteres på Chromium-bloggen
Microsoft Edge-brukere skal ikke lenger føle seg trygge og sunne. Google ga ut informasjonen om feilen og hvordan den fungerer. Derfor kan alle som leter etter en feil å utnytte for å starte cyberangrep nå dra nytte av det.
Google-forsker Ivan Fratric fant en sårbarhet i Microsofts Arbitrary Code Guard (ACG) som ble vurdert som "medium." Feilen påvirker Just In Time (JIT) kompilator for JavaScript og lar angripere laste inn en skadelig kode. Problemet er beskrevet i Chromium-bloggen:[3]
Hvis en innholdsprosess er kompromittert og innholdsprosessen kan forutsi hvilken adresse JIT-prosessen kommer til å kalle VirtualAllocEx() neste gang (merk: den er ganske forutsigbar), kan innholdsprosessen:
1. Fjern kartleggingen av det delte minnet som er kartlagt ovenfor ved å bruke UnmapViewOfFile()
2. Tildel en skrivbar minneregion på den samme adressen JIT-serveren skal skrive og skrive en snart kjørbar nyttelast der.
3. Når JIT-prosessen kaller VirtualAllocEx(), selv om minnet allerede er allokert, vil anropet lykkes og minnebeskyttelsen settes til PAGE_EXECUTE_READ.
Det er ikke første gang Google offentlig avslører feil i Microsoft-produkter
I 2016 oppdaget Google-forskere en feil i Windows 10. Situasjonen var lik. Microsoft ble informert om sårbarheten som gjorde at angripere kunne installere en bakdør på Windows-datamaskinen.
Google forble imidlertid ikke stille lenge. Det tok bare 10 dager å avsløre om "kritisk" sårbarhet. Den gang hadde Google implementert en løsning for Google Chrome-brukere. Windows OS i seg selv forblir imidlertid sårbart.
Etter at nyhetene om kritisk sårbarhet dukket opp for to år siden, fortalte Microsofts talsperson at "avsløring fra Google setter kunder i en potensiell risiko."[4]
I fjor rapporterte Google om "galt dårlig"[5] sårbarhet i Windows 10 som tillot ekstern kjøring av kode. Imidlertid klarte Microsoft å fikse problemet med de siste Patch Tuesday-oppdateringene. Det ser imidlertid ut til at det er mulig å løse sikkerhetsproblemer i tide.