Google odhalil podrobnosti o dosť závažnej chybe vo webovom prehliadači Microsoft Edge, ale Microsoft nebude schopný problém vyriešiť až do polovice marca.
Táto chyba umožňuje útočníkom obísť bezpečnostnú funkciu Edge s názvom Arbitrary Code Guard (ACG), ktorá zabraňuje spusteniu škodlivého kódu JavaScript na webovej stránke. Hľadače chýb z tímu Google Project Zero našli chybu 17. novembra a poskytli spoločnosti Microsoft štandardných 90 dní na jej opravu, kým spoločnosť Google chybu neodhalí.
Ale v deň uzávierky, 15. februára, Microsoft povedal Project Zero, že termín nestihne, dokonca ani s dvojtýždňovým predĺžením, ktoré Project Zero zrejme ponúklo. Google teda vylial fazuľa o chybe, ktorej náprava príde 13. marca s ďalším utorkovým kolom plánovaných aktualizácií spoločnosti Microsoft.
Používatelia Edge môžu dovtedy chcieť nepoužívať vlajkový prehliadač spoločnosti Microsoft.
VIAC: Edge vs. Chrome vs. Firefox: Bitka v prehliadačoch Windows 10
Striebornou podšívkou je, že túto chybu „nemožno využiť samostatne“, ako uviedol výskumník projektu Google Project Zero Ivan Fratric v komentári k svojmu pôvodnému príspevku na blogu.
Ak chcete zaútočiť na prehliadač Edge niekoho iného, prvým krokom by bolo infikovať alebo inak ohroziť iný proces v jeho prehliadači. Až potom budete môcť prejsť na druhý krok: Túto novú chybu by ste použili na výmenu škodlivého kódu na presne správnom mieste v bežiacej pamäti Edge, aby kód nahradil benígny kód, ktorý sa mal spustiť proces Edge ACG.
„Útočník by najskôr musel využiť samostatnú zraniteľnosť, aby získal určité schopnosti v procese obsahu Edge (napríklad schopnosť čítať a zapisovať do ľubovoľných umiestnení pamäte),“ napísal Fratric, „potom by túto zraniteľnosť mohli využiť na získanie ďalších schopností. (konkrétne schopnosť spúšťať ľubovoľný strojový kód). “
Zlou správou je, že prvý krok je pravdepodobne na dosah skúsených hackerov a správne vytvoreného malvéru. Fratricov pôvodný blogový príspevok, ktorý je teraz k dispozícii všetkým, vám ukáže, ako presne pokračovať v druhom kroku. Môžete sa staviť, že zlí ľudia pracujú na implementácii Fratricovho dôkazu o koncepte exploitu predtým, ako bude oprava pripravená 13. marca.
Fratric má naplánované ešte viac vysvetliť, ako to všetko funguje, 27. apríla na bezpečnostnej konferencii Infiltrate v Miami Beach.
Obrazový kredit: T.Dallas/Shutterstock
- Ako zvýšiť svoje súkromie v programe Microsoft Edge
- Rozpad a spektrum: Ako chrániť svoj počítač, Mac a telefón
- Najlepšie motívy systému Windows 10 (a ako ich stiahnuť)