Команда безопасности Google Project Zero обнаружила уязвимость Microsoft Edge после того, как фирме Redmond не удалось вовремя ее исправить.
Подробности об ошибке обхода системы безопасности были впервые переданы Microsoft 17 ноября прошлого года, но поскольку Microsoft не смогла найти подходящее исправление в течение не подлежащего обсуждению 90-дневного периода исправления Google, исследователи безопасности обнародовали его.
Project Zero обычно предоставляет компаниям-разработчикам продление на 14 дней в этом 90-дневном окне, если патч уже закрыт, но в случае Microsoft это не так.
Ровно через 90 дней после обнаружения Google раскрыл оправдание Microsoft, сказав: «Исправление является более сложным, чем первоначально предполагалось, и весьма вероятно, что мы не сможем уложиться в февральский срок выпуска из-за этих проблем управления памятью.
«Команда уверена, что она будет готова к отправке 13 марта (2018-03-13), однако это выходит за рамки 90-дневного SLA (соглашение об уровне обслуживания) и 14-дневного льготного периода, чтобы соответствовать обновлению по вторникам».
Поэтому Google немедленно опубликовал подробности этой ошибки, сообщая пользователям Microsoft Edge, как они должны оставаться без патча в течение почти еще одного месяца.
К счастью, ошибка не слишком опасна. Охранная фирма Sophos отметила, что это не так плохо, как использование удаленного выполнения кода. Фактически, это обход безопасности, который может позволить злоумышленнику, который уже вырвал управление у браузера пользователя, пройти второй уровень защиты Microsoft, известный как Защита произвольного кода (ACG).
«Предполагается, что ACG отразит атаки удаленного выполнения кода, прежде чем они смогут добиться успеха», – объяснил Пол Даклин (Sophos) в своем блоге. «Проще говоря, (это) работает, блокируя память, которую Edge использует для запуска своего собственного программного кода».
Злоумышленник, использующий уязвимость для получения контроля через веб-страницу, которую только что загрузил Edge, не может изменять исполняемый код, который уже находится в памяти, и не может выделять новые блоки памяти для хранения мошеннического кода, поэтому Sophos предложил пользователям Edge не беспокоиться слишком много об этом.
«(Хотя) эта дыра не дает мошенникам прямой способ захватить ваш браузер немедленно (пользователи Edge) могут расценивать его как уязвимость, которая может усугубить плохую вещь, а не плохую» Даклин добавил.
Тем не менее, всегда лучше, чтобы ваш компьютер был максимально безопасным, поэтому, если вы являетесь пользователем браузера Edge, обратите внимание на предстоящий патч от Microsoft. Возможно, он включен в следующий выпуск Patch Tuesday.
Изображение: Shutterstock
Add comment