Google ha revelado detalles acerca de un defecto en el navegador de Microsoft Edge después de que Microsoft no cumplió el plazo para su fijación. Google había notificado previamente Microsoft acerca de la vulnerabilidad en el navegador a través de Project Zero, dándoles el plazo de divulgación habitual de 90 días.
Más información sobre la vulnerabilidad de Microsoft no fijado Edge
El informe fue acerca de un error en la función arbitraria Guardia Código de Edge, y fue lanzado en noviembre. Debe tenerse en cuenta que Google dio tiempo extra para Microsoft - dos semanas adicionales a petición - pero a pesar del tiempo extra el defecto todavía es existente en Windows 10.
Se espera que sea fijado en marzo dentro del martes de parches montón de cambios el tema. Según los expertos, el error es de gravedad media y se deriva de la JIT (Justo a tiempo) compilador de Javascript en Microsoft Edge. El agujero de seguridad en el navegador podría conducir a un compromiso mediante la predicción de la dirección de los procesos que se llamará. A pesar de que la cuota de usuario del navegador no es tan grande a todos, el problema todavía podría poner en riesgo a los usuarios, y de hecho es vergonzoso que Microsoft está tomando tanto tiempo para hacerle frente.
Aquí está el Descripción oficial del error:
Si un proceso de contenido se ve comprometida y el proceso de contenido puede predecir en qué proceso JIT dirección se va a llamar VirtualAllocEx() siguiente (Nota: es bastante predecible), proceso de contenido pueden:
1. Desasignar la memoria compartida asignada por encima de arriba usando UnmapViewOfFile()
2. Asignar una región de memoria se puede escribir en el mismo servidor JIT dirección va a escribir y escribir una carga útil de pronto-a-ser-ahí ejecutable.
3. Cuando el proceso JIT llama VirtualAllocEx(), a pesar de que la memoria ya ha sido asignado, la llamada va a tener éxito y va a ser fijado a la protección de la memoria PAGE_EXECUTE_READ.
Esperar a marzo 2018 Martes de parches
Como se ha mencionado en el principio, Google dio a Microsoft dos semanas adicionales después de que éste dijo que necesitaba más tiempo que el problema era más complejo de lo que se pensaba inicialmente. Sin embargo, Microsoft se perdió el segundo plazo y Google salió a bolsa. Ventanas 10 los usuarios que ejecutan el navegador de Microsoft Edge debe esperar a marzo 2018 Martes de parches para una solución.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: