Google a révélé des détails sur une faille dans le navigateur Microsoft Edge après que Microsoft a manqué la date limite pour le fixer. Google avait déjà informé Microsoft sur la vulnérabilité dans le navigateur via Project Zero, en leur donnant la date limite de divulgation de 90 jours d'habitude.
Plus sur la vulnérabilité de Microsoft bord non fixé
Le rapport était d'un bogue dans la fonction Edge de code arbitraire Garde, et a été libéré en Novembre. Il convient de noter que Google a donné du temps supplémentaire à Microsoft - deux semaines supplémentaires sur demande - mais malgré le temps supplémentaire est le défaut existant encore dans Windows 10.
La question devrait être fixé à Mars dans le groupe de Patch Tuesday des mises à jour. Selon les experts, le bug est de gravité moyenne et les tiges du JIT (Juste à temps) compilateur pour Javascript dans Microsoft Edge. La faille de sécurité dans le navigateur pourrait conduire à un compromis en prédisant l'adresse des processus à appeler. Même si la part de l'utilisateur du navigateur est pas grand du tout, la question pourrait encore mettre les utilisateurs à risque, et il est en effet embarrassant que Microsoft prend si longtemps pour y remédier.
Voici la Description officielle du bug:
Si un processus de contenu est compromise et le processus de contenu peut prédire sur quelle adresse processus JIT va appeler VirtualAllocEx() prochain (Remarque: il est assez prévisible), processus contenu peut:
1. Démapper la mémoire partagée mappée ci-dessus ci-dessus en utilisant UnmapViewOfFile()
2. Allouer une région de mémoire inscriptible sur la même adresse serveur JIT va écrire et écrire une charge utile bientôt à être exécutable il.
3. Lorsque le processus JIT appelle VirtualAllocEx(), même si la mémoire est déjà alloué, l'appel va réussir et la protection de la mémoire va être réglé sur PAGE_EXECUTE_READ.
Attendez Mars 2018 Patch Tuesday
Comme il est mentionné au début,, Google a Microsoft deux semaines supplémentaires après que ce dernier a dit qu'il fallait plus de temps que la question était plus complexe que d'abord pensé. Cependant, Microsoft a raté la deuxième échéance et Google est devenue publique. Fenêtres 10 les utilisateurs qui exécutent le navigateur Microsoft bord doit attendre Mars 2018 Patch Tuesday pour une solution.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: