Google ha rivelato i dettagli di una falla in del browser Edge di Microsoft dopo che Microsoft ha mancato la scadenza per il fissaggio. Google aveva precedentemente comunicato Microsoft sulla vulnerabilità nel browser tramite Project Zero, dando loro il solito 90 giorni scadenza divulgazione.
Ulteriori informazioni sulla vulnerabilità non fissato Microsoft Edge
Il rapporto era di circa un bug nella funzione arbitraria di codice Guardia di Edge, ed è stato rilasciato nel novembre. Va notato che Google ha dato il tempo in più per Microsoft - altre due settimane su richiesta - ma nonostante il tempo in più il difetto è ancora inesistente in Windows 10.
La questione dovrebbe essere fissato marzo all'interno del Patch Martedì mucchio di aggiornamenti. Secondo gli esperti, il bug è di media gravità e deriva dal JIT (Appena in tempo) compilatore per javascript nel Microsoft Edge. La lacuna nella sicurezza all'interno del browser potrebbe portare a un compromesso predicendo l'indirizzo dei processi da chiamare. Anche se la quota d'uso del browser non è poi così grande a tutti, la questione potrebbe ancora mettere gli utenti a rischio, ed è davvero imbarazzante che Microsoft sta prendendo così tanto tempo per affrontare il problema.
Ecco il descrizione ufficiale del bug:
Se un processo di contenuti è compromessa e il processo di contenuti in grado di prevedere in quale indirizzo processo JIT sta per chiamare VirtualAllocEx() Il prossimo (Nota: è abbastanza prevedibile), processo di contenuti possono:
1. Unmap la memoria condivisa mappata sopra sopra utilizzando UnmapViewOfFile()
2. Allocare una regione di memoria scrivibile sullo stesso server JIT indirizzo sta per scrivere e scrivere un payload soon-to-be-eseguibile lì.
3. Quando il processo JIT chiama VirtualAllocEx(), anche se la memoria è già allocato, la chiamata sta per avere successo e la protezione della memoria sta per essere impostato su PAGE_EXECUTE_READ.
Attendere per marzo 2018 Patch Martedì
Come accennato all'inizio, Google ha dato Microsoft due settimane supplementari dopo che quest'ultimo ha detto che aveva bisogno di più tempo, come la questione era più complessa di quanto inizialmente pensato. Tuttavia, Microsoft ha mancato il secondo termine e Google è andato pubblico. Windows 10 gli utenti che eseguono il browser Microsoft Edge deve aspettare marzo 2018 Patch Martedì per una correzione.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: