Google дал Microsoft 90 дней на исправление бреши в системе безопасности; Microsoft потерпела неудачу
Исследователи безопасности из Google Project Zero публично сообщили об огромном недостатке безопасности в Microsoft Edge, который позволяет загружать вредоносный код в память. Однако Microsoft была уведомлена об ошибке безопасности и дала 90 дней на ее исправление, пока она не будет раскрыта публично. Судя по всему, Microsoft не уложилась в срок.
Исследователи Google сообщили о недостатке безопасности в браузере Microsoft Edge Arbitrary Code Guard (ACG)[1] Feature в ноябре 2017 года. Microsoft попросила продлить срок, и Google дал дополнительные 14 дней, чтобы исправить ошибку и предоставить ее во вторник февраля.
Однако в патчах этого месяца от Microsoft не было исправления для этой уязвимости. Компания заявляет, что «исправить это сложнее, чем предполагалось изначально». Ожидается, что исправление будет выпущено во вторник, 13 марта.[2] Однако это не подтверждено.
Об уязвимости Microsoft Edge сообщается в блоге Chromium
Пользователи Microsoft Edge больше не должны чувствовать себя живыми и невредимыми. Google опубликовал информацию об ошибке и о том, как она действует. Таким образом, любой, кто ищет уязвимость, чтобы запустить кибератаку, теперь может ею воспользоваться.
Исследователь Google Иван Фратрик обнаружил уязвимость в Microsoft Arbitrary Code Guard (ACG), которая получила оценку как "средний." Уязвимость затрагивает компилятор Just In Time (JIT) для JavaScript и позволяет злоумышленникам загружать вредоносный код. Проблема описана в блоге Chromium:[3]
Если процесс содержимого скомпрометирован и процесс содержимого может предсказать, на каком адресе процесс JIT будет вызывать VirtualAllocEx () следующим (примечание: это довольно предсказуемо), процесс содержимого может:
1. Отмените отображение общей памяти, отображенной выше, с помощью UnmapViewOfFile ()
2. Выделите доступную для записи область памяти на том же адресе, который JIT-сервер будет записывать и записывать туда полезные данные, которые скоро будут исполняться.
3. Когда процесс JIT вызывает VirtualAllocEx (), даже если память уже выделена, вызов будет успешным, а защита памяти будет установлена на PAGE_EXECUTE_READ.
Google не впервые публично раскрывает недостатки продуктов Microsoft.
В 2016 году исследователи Google обнаружили недостаток в Windows 10. Ситуация была похожей. Microsoft была проинформирована об уязвимости, которая позволила злоумышленникам установить бэкдор на компьютер Windows.
Однако Google недолго молчал. Им потребовалось всего 10 дней, чтобы сообщить о «критической» уязвимости. Тогда Google развернул исправление для пользователей Google Chrome. Однако сама ОС Windows остается уязвимой.
После того, как два года назад появилась новость о критической уязвимости, представитель Microsoft заявил, что «раскрытие информации Google подвергает клиентов потенциальному риску».[4]
В прошлом году Google сообщил о «безумно плохом»[5] уязвимость в Windows 10, позволяющая удаленно выполнять код. Однако Microsoft удалось решить проблему с помощью последних обновлений Patch Tuesday. Хотя вроде бы со временем решить проблемы с безопасностью можно.