Google дав Microsoft 90 днів на усунення недоліків безпеки; Microsoft зазнала невдачі
Дослідники безпеки в Project Zero від Google публічно повідомили про величезний недолік безпеки в Microsoft Edge, який дозволяє завантажувати шкідливий код у пам’ять. Однак Microsoft було повідомлено про помилку безпеки й дало 90 днів на її виправлення, доки вона не буде оприлюднена. Судячи з усього, Microsoft не втримався в термін.
Дослідники Google повідомили про недолік безпеки в браузері Microsoft Edge Arbitrary Code Guard (ACG)[1] функція в листопаді 2017 року. Microsoft попросила продовжити термін, і Google дав додаткові 14 днів, щоб виправити помилку та надати її у лютневому виправленні у вівторок.
Однак виправлення цього місяця від Microsoft не виправляли цю вразливість. У компанії стверджують, що «виправлення є складнішим, ніж очікувалося спочатку». Очікується, що виправлення буде випущено у вівторок, 13 березня.[2] Однак це не підтверджено.
У блозі Chromium повідомляється про вразливість Microsoft Edge
Користувачі Microsoft Edge більше не повинні відчувати себе в безпеці. Google оприлюднив інформацію про помилку та про те, як вона працює. Тому кожен, хто шукає недолік, який можна використати, щоб запустити кібератаку, тепер може ним скористатися.
Дослідник Google Іван Фратрик виявив уразливість у Arbitrary Code Guard (ACG) Microsoft, яка була оцінена як «середній». Недолік впливає на компілятор Just In Time (JIT) для JavaScript і дозволяє зловмисникам завантажувати шкідливий файл код. Проблема описана в блозі Chromium:[3]
Якщо процес вмісту скомпрометований і процес вмісту може передбачити, за якою адресою процес JIT буде викликати VirtualAllocEx() наступним (примітка: це досить передбачувано), процес вмісту може:
1. Зніміть відображення спільної пам’яті, зазначеної вище, за допомогою UnmapViewOfFile()
2. Виділіть область пам’яті для запису на тій самій адресі, що сервер JIT збирається записувати та записувати туди корисне навантаження, яке незабаром буде виконано.
3. Коли JIT-процес викликає VirtualAllocEx(), навіть якщо пам’ять уже виділена, виклик буде успішним, і захист пам’яті буде встановлено на PAGE_EXECUTE_READ.
Це не перший випадок, коли Google публічно розкриває недоліки продуктів Microsoft
У 2016 році дослідники Google виявили недолік у Windows 10. Ситуація була схожа. Microsoft повідомили про вразливість, яка дозволила зловмисникам встановити бекдор на комп’ютер Windows.
Однак Google не довго мовчав. Їм знадобилося всього 10 днів, щоб повідомити про «критичну» вразливість. Тоді Google розгорнув виправлення для користувачів Google Chrome. Однак сама ОС Windows залишається вразливою.
Після того, як два роки тому з’явилася новина про критичну вразливість, представник Microsoft сказав, що «розкриття інформації від Google ставить клієнтів під потенційний ризик».[4]
Минулого року Google повідомила про "божевільно погано"[5] вразливість у Windows 10, яка дозволяла віддалено виконувати код. Однак Microsoft вдалося вирішити проблему за допомогою останніх оновлень Patch Tuesday. Хоча, схоже, що проблеми безпеки можна вчасно вирішити.