Google hat Details zu einem Fehler in Microsoft Edge-Browser aufgedeckt, nachdem Microsoft die Frist für die Festsetzung es verpasst. Google hatte zuvor mitgeteilt Microsoft über die Sicherheitslücke im Browser über Project Zero, indem sie ihnen den üblichen 90-Tage-Stichtag.
Mehr über die Unfixierte Microsoft Edge Vulnerability
Der Bericht war über einen Fehler in Edges von beliebigem Code Guard-Funktion, und wurde im November veröffentlicht zurück. Es ist zu beachten, dass Google mehr Zeit zu Microsoft gab - eine zusätzliche zwei Wochen auf Anfrage - aber trotz der Verlängerung wird der Fehler immer noch existent in Windows 10.
Das Problem wird voraussichtlich im Patchday Haufen Updates März festgelegt werden. Nach Ansicht von Experten, der Fehler ist von mittlerer Schwere und ergibt sich aus der JIT (Gerade rechtzeitig) Compiler für Javascript in Microsoft Edge. Die Sicherheitslücke im Browser zu einem Kompromiss führen könnte, indem die Adresse der Prozesse die Vorhersage aufgerufen werden. Auch wenn die Benutzerfreigabe des Browsers ist nicht so groß überhaupt, das Problem noch konnten Benutzer gefährden, und es ist in der Tat peinlich, dass Microsoft so lange dauert es zu adressieren.
Hier ist das offizielle Beschreibung des Fehlers:
Wenn ein Content-Prozess gefährdet ist und der Inhalt Prozess kann vorhersagen, auf welche Adresse JIT Prozess VirtualAllocEx anrufen wird() Nächster (Notiz: es ist ziemlich vorhersehbar), Inhalt Prozess kann:
1. Unmap den gemeinsam genutzten Speicher oben abgebildet oben UnmapViewOfFile mit()
2. Vergeben Sie einen beschreibbaren Speicherbereich auf dem gleichen Adresse JIT-Server wird eine soon-to-be-ausführbare Nutzlast dort schreiben und schreiben.
3. Wenn das JIT-Prozess ruft VirtualAllocEx(), obwohl der Speicher bereits vergeben, der Anruf wird um erfolgreich zu sein und der Speicherschutz wird in Gang gesetzt werden, um PAGE_EXECUTE_READ.
Warten Sie, März 2018 Patchday
Wie in der eingangs genannten, Google gab Microsoft zwei weitere Wochen, nachdem dieser sagte, es mehr Zeit benötigt, da das Problem komplexer war als ursprünglich angenommen. Jedoch, Microsoft verpasste die zweite Frist und Google ging an die Öffentlichkeit. Fenster 10 Benutzer, die den Microsoft Edge-Browser ausgeführt werden sollte für März warten 2018 Patch-Dienstag für eine Korrektur.