Google dal Microsoftu 90 dní na opravu bezpečnostnej chyby; Microsoft zlyhal
Bezpečnostní výskumníci z Google Project Zero verejne informovali o obrovskej bezpečnostnej chybe v Microsoft Edge, ktorá umožňuje načítanie škodlivého kódu do pamäte. Spoločnosť Microsoft však bola upozornená na chybu zabezpečenia a dostala 90 dní na jej opravu, kým nebude zverejnená. Microsoft zrejme nedodržal termín.
Výskumníci Google informovali o bezpečnostnej chybe v prehliadači Microsoft Edge Arbitrary Code Guard (ACG)[1] funkcia v novembri 2017. Spoločnosť Microsoft požiadala o predĺženie termínu a spoločnosť Google poskytla ďalších 14 dní na opravu chyby a jej poskytnutie vo februárovom opravnom utorok.
Opravy tohto mesiaca od spoločnosti Microsoft však túto chybu zabezpečenia neopravovali. Spoločnosť hovorí, že „náprava je zložitejšia, ako sa pôvodne predpokladalo. Očakáva sa, že oprava bude vydaná v nadchádzajúcom Patch Tuesday 13. marca.[2] Nie je to však potvrdené.
Zraniteľnosť Microsoft Edge je hlásená na blogu Chromium
Používatelia Microsoft Edge by sa už nemali cítiť bezpečne a zdravo. Google zverejnil informácie o chybe a o tom, ako funguje. Preto každý, kto hľadá chybu, ktorú by mohol využiť na spustenie kybernetického útoku, ju teraz môže využiť.
Výskumník spoločnosti Google Ivan Fratric našiel zraniteľnosť v Arbitrary Code Guard (ACG) spoločnosti Microsoft, ktorá bola hodnotená ako "stredné." Chyba ovplyvňuje kompilátor Just In Time (JIT) pre JavaScript a umožňuje útočníkom načítať škodlivý kód kód. Problém je popísaný v blogu Chromium:[3]
Ak je ohrozený proces obsahu a proces obsahu môže predpovedať, na ktorej adrese proces JIT zavolá VirtualAllocEx() ako ďalší (poznámka: je to celkom predvídateľné), proces obsahu môže:
1. Zrušte mapovanie zdieľanej pamäte zmapovanej vyššie pomocou UnmapViewOfFile()
2. Prideľte oblasť zapisovateľnej pamäte na rovnakú adresu, do ktorej server JIT zapíše a zapíše čoskoro spustiteľné užitočné zaťaženie.
3. Keď proces JIT volá VirtualAllocEx(), aj keď je pamäť už pridelená, volanie bude úspešné a ochrana pamäte sa nastaví na PAGE_EXECUTE_READ.
Nie je to prvýkrát, čo Google verejne zverejňuje nedostatky v produktoch Microsoftu
V roku 2016 výskumníci Google objavili chybu v systéme Windows 10. Situácia bola podobná. Microsoft bol informovaný o zraniteľnosti, ktorá umožnila útočníkom nainštalovať zadné vrátka na počítač so systémom Windows.
Google sa však dlho neodmlčal. Trvalo im iba 10 dní, kým odhalili „kritickú“ zraniteľnosť. Vtedy spoločnosť Google nasadila opravu pre používateľov prehliadača Google Chrome. Samotný operačný systém Windows však zostáva zraniteľný.
Po tom, čo sa pred dvoma rokmi objavili správy o kritickej zraniteľnosti, hovorca Microsoftu povedal, že „sprístupnenie zo strany Google vystavuje zákazníkov potenciálnemu riziku“.[4]
Minulý rok Google informoval o „bláznivom zlom“[5] zraniteľnosť v systéme Windows 10, ktorá umožňovala vzdialené spustenie kódu. Microsoftu sa však podarilo problém vyriešiť pomocou najnovších aktualizácií Patch Tuesday. Zdá sa však, že bezpečnostné problémy je možné vyriešiť včas.