Google heeft meer informatie onthuld over een fout in Microsoft Edge browser nadat Microsoft de deadline gemist voor de vaststelling van het. Google had eerder aangemelde Microsoft over de kwetsbaarheid in de browser via Project Zero, waardoor ze de gebruikelijke 90 dagen openbaarmakingstermijn.
Meer over de niet vastgelegde Microsoft Edge Vulnerability
Het rapport ging over een bug in de Rand van de willekeurige code Guard feature, en werd uitgebracht in november. Opgemerkt dient te worden dat Google gaf extra tijd om Microsoft - een extra twee weken op aanvraag - maar ondanks de extra tijd de fout is nog bestaand in Windows 10.
De kwestie wordt naar verwachting binnen de Patch Tuesday bos van updates maart vast te stellen. Volgens deskundigen, de bug is van gemiddelde ernst en komt voort uit het JIT (Net op tijd) compiler voor Javascript in Microsoft Edge. De lacune in de beveiliging in de browser kan leiden tot een compromis door het voorspellen van het adres van de processen te noemen. Hoewel gebruiker het aandeel van de browser is niet zo groot helemaal, het probleem zou kunnen vormen nog steeds gebruikers in gevaar, en het is inderdaad pijnlijk dat Microsoft zo lang duurt om het aan te pakken.
Hier is de officiële beschrijving van de bug:
Als een content proces in het gedrang komt en de inhoud proces kan voorspellen op welk adres JIT proces gaat VirtualAllocEx bellen() volgende (Notitie: Het is redelijk voorspelbaar), Inhoud proces kan:
1. Unmap het gedeelde geheugen boven toegewezen boven met behulp van UnmapViewOfFile()
2. Wijs een beschrijfbaar geheugen gebied op hetzelfde adres JIT server gaat schrijven en schrijf een snel-to-be-executable payload er.
3. Wanneer JIT proces vraagt VirtualAllocEx(), ook al is het geheugen al is toegewezen, het gesprek gaat om te slagen en het geheugen bescherming zal worden ingesteld op PAGE_EXECUTE_READ.
Wacht tot maart 2018 Patch Tuesday
Zoals vermeld in het begin, Google gaf Microsoft nog twee weken na de laatste zei dat het meer tijd nodig omdat het probleem was complexer dan aanvankelijk gedacht. Echter, Microsoft miste de tweede termijn en Google ging het publiek. Windows 10 gebruikers die de Microsoft Edge browser draaien moet wachten voor maart 2018 Patch Tuesday voor een fix.