O Google revelou detalhes sobre uma falha no navegador Microsoft Edge depois que a Microsoft perdeu o prazo para corrigi-lo. O Google já havia notificado a Microsoft sobre a vulnerabilidade no navegador por meio do Project Zero, dando-lhes o prazo normal de divulgação de 90 dias.
Mais sobre a vulnerabilidade não corrigida do Microsoft Edge
O relatório era sobre um bug no recurso Arbitrary Code Guard do Edge, e foi lançado em novembro. Deve-se notar que o Google deu tempo extra para a Microsoft - mais duas semanas a pedido - mas, apesar do tempo extra, a falha ainda existe no Windows 10.
Espera-se que o problema seja corrigido em março, dentro do conjunto de atualizações da Patch Tuesday. De acordo com os especialistas, o bug é de gravidade média e decorre do JIT (Na hora certa) compilador para Javascript no Microsoft Edge. A brecha de segurança no navegador pode levar a um comprometimento ao prever o endereço dos processos a serem chamados. Mesmo que a participação do usuário do navegador não seja tão grande, o problema ainda pode colocar os usuários em risco, e é realmente constrangedor que a Microsoft esteja demorando tanto para resolver isso.
Aqui está o descrição oficial do bug:
Se um processo de conteúdo estiver comprometido e o processo de conteúdo puder prever em qual endereço o processo JIT irá chamar VirtualAllocEx() Próximo (Nota: é bastante previsível), processo de conteúdo pode:
1. Remova o mapeamento da memória compartilhada mapeada acima usando UnmapViewOfFile()
2. Alocar uma região de memória gravável no mesmo endereço O servidor JIT irá gravar e gravar uma carga útil que logo será executável lá.
3. Quando o processo JIT chama VirtualAllocEx(), mesmo que a memória já esteja alocada, a chamada terá sucesso e a proteção da memória será configurada para PAGE_EXECUTE_READ.
Espere março 2018 patch Tuesday
Como mencionado no início, O Google deu à Microsoft mais duas semanas depois que esta disse que precisava de mais tempo, pois o problema era mais complexo do que se pensava inicialmente. Contudo, A Microsoft perdeu o segundo prazo e o Google foi a público. janelas 10 os usuários que estão executando o navegador Microsoft Edge devem esperar até março 2018 Patch Tuesday para uma correção.