Google odhalil podrobnosti o docela závažné chybě ve webovém prohlížeči Microsoft Edge, ale Microsoft nebude schopen problém vyřešit až do poloviny března.
Tato chyba umožňuje útočníkům obejít bezpečnostní funkci Edge s názvem Arbitrary Code Guard (ACG), která brání škodlivému JavaScriptu ve spouštění na webové stránce. Vyhledávači chyb od týmu Project Zero společnosti Google našli chybu 17. listopadu a poskytli společnosti Microsoft 90denní lhůtu na její opravu, než Google chybu odhalí.
Ale v den uzávěrky, 15. února, Microsoft řekl Project Zero, že nebude schopen provést termín, a to ani s prodloužením o dva týdny, které Project Zero zjevně nabídlo. Google tedy vylil fazole o této chybě, jejíž oprava přijde 13. března s dalším kolem plánovaných aktualizací Microsoft Patch Tuesday.
Uživatelé Edge mohou do té doby chtít nepoužívat vlajkový prohlížeč Microsoftu.
VÍCE: Edge vs. Chrome vs. Firefox: Bitva prohlížečů Windows 10
Stříbrnou podšívkou je, že tuto chybu „nelze zneužít samostatně“, jak napsal výzkumník projektu Google Project Zero Ivan Fratric v komentáři ke svému původnímu příspěvku na blog.
Chcete -li zaútočit na prohlížeč Edge někoho jiného, prvním krokem by bylo infikovat nebo jinak ohrozit jiný proces v jeho prohlížeči. Teprve poté budete moci přejít ke kroku dva: Tuto novou chybu byste použili k záměně škodlivého kódu v přesně správném bodě v běžící paměti Edge, aby kód nahradil benigní kód, který měl proces Edge ACG spustit.
„Útočník by nejprve musel využít samostatnou zranitelnost, aby získal nějaké schopnosti v procesu obsahu Edge (například schopnost číst a zapisovat libovolná umístění paměti),“ napsal Fratric, „poté by tuto zranitelnost mohli využít k získání dalších schopností. (jmenovitě schopnost spouštět libovolný strojový kód). “
Špatnou zprávou je, že první krok je pravděpodobně na dosah zkušených hackerů a správně vytvořeného malwaru. Fratricův původní příspěvek na blogu, který je nyní k dispozici všem, vám ukáže, jak přesně přejít ke kroku dva. Můžete se vsadit, že padouši pracují na implementaci Fratricova důkazu o konceptu exploitu, než bude oprava připravena 13. března.
Fratric by měl ještě 27. dubna vysvětlit, jak to všechno funguje, na bezpečnostní konferenci Infiltrate v Miami Beach.
Obrazový kredit: T.Dallas/Shutterstock
- Jak zvýšit své soukromí v Microsoft Edge
- Meltdown and Spectre: How to Protect Your PC, Mac and Phone
- Nejlepší motivy Windows 10 (a jak je stáhnout)
