Google dał Microsoft 90 dni na naprawienie luki w zabezpieczeniach; Microsoft nie powiódł się
Badacze bezpieczeństwa z Google Project Zero publicznie donieśli o ogromnej luce bezpieczeństwa w Microsoft Edge, która umożliwia ładowanie złośliwego kodu do pamięci. Jednak firma Microsoft została powiadomiona o błędzie bezpieczeństwa i dano mu 90 dni na naprawienie go, dopóki nie zostanie on publicznie ujawniony. Najwyraźniej Microsoft nie dotrzymał terminu.
Badacze Google zgłosili lukę w zabezpieczeniach przeglądarki Microsoft Edge Arbitrary Code Guard (ACG)[1] funkcja w listopadzie 2017 r. Microsoft poprosił o przedłużony termin, a Google dał dodatkowe 14 dni na naprawienie błędu i dostarczenie go w lutowej poprawce we wtorek.
Jednak łatki Microsoftu z tego miesiąca nie zawierały poprawki dla tej luki. Firma twierdzi, że „poprawka jest bardziej złożona, niż początkowo przewidywano”. Oczekuje się, że poprawka zostanie wydana w nadchodzący wtorek, 13 marca.[2] Nie jest to jednak potwierdzone.
Luka w Microsoft Edge została zgłoszona na blogu Chromium
Użytkownicy Microsoft Edge nie powinni już czuć się bezpiecznie i zdrowo. Google opublikowało informację o błędzie i sposobie jego działania. Dlatego każdy, kto szuka luki do wykorzystania w celu przeprowadzenia cyberataku, może teraz z niej skorzystać.
Badacz Google Ivan Fratric znalazł lukę w zabezpieczeniach Arbitrary Code Guard (ACG) firmy Microsoft, która została oceniona jako "średni." Luka wpływa na kompilator Just In Time (JIT) dla JavaScript i umożliwia atakującym załadowanie złośliwego oprogramowania kod. Problem opisano na blogu Chromium:[3]
Jeśli proces treści jest zagrożony i proces treści może przewidzieć, pod którym adresem proces JIT wywoła następnie VirtualAllocEx() (uwaga: jest to dość przewidywalne), proces treści może:
1. Usuń mapowanie pamięci współdzielonej zmapowanej powyżej za pomocą UnmapViewOfFile()
2. Przydziel zapisywalny obszar pamięci pod tym samym adresem, na którym serwer JIT będzie zapisywał i zapisywał tam ładunek, który wkrótce będzie wykonywalny.
3. Gdy proces JIT wywołuje VirtualAllocEx(), nawet jeśli pamięć jest już przydzielona, wywołanie zakończy się pomyślnie, a ochrona pamięci zostanie ustawiona na PAGE_EXECUTE_READ.
To nie pierwszy raz, kiedy Google publicznie ujawnia wady produktów Microsoft
W 2016 roku badacze Google odkryli lukę w Windows 10. Sytuacja była podobna. Microsoft został poinformowany o luce, która umożliwiała atakującym zainstalowanie backdoora na komputerze z systemem Windows.
Jednak Google nie milczał długo. Ujawnienie „krytycznej” luki zajęło im tylko 10 dni. Wtedy Google wdrożył poprawkę dla użytkowników Google Chrome. Jednak sam system operacyjny Windows pozostaje podatny na ataki.
Po tym, jak dwa lata temu pojawiły się informacje o krytycznej luce, rzecznik Microsoftu powiedział, że „ujawnienie przez Google naraża klientów na potencjalne ryzyko”.[4]
W zeszłym roku Google poinformował o „szalonym złym”[5] luka w systemie Windows 10 umożliwiająca zdalne wykonanie kodu. Jednak Microsoftowi udało się naprawić ten problem dzięki najnowszym aktualizacjom Patch Tuesday. Wydaje się jednak, że problemy z bezpieczeństwem można rozwiązać na czas.