Bezpečnostný tím spoločnosti Google Project Zero odhalil chybu Microsoft Edge po tom, čo to redmondská firma nestihla včas opraviť.
Podrobnosti o chybe vynechania zabezpečenia boli pôvodne zdieľané so spoločnosťou Microsoft 17. novembra minulého roka, ale pretože spoločnosť Microsoft nebola výskumníci v oblasti bezpečnosti, ktorí dokázali prísť s vhodnou opravou v rámci 90-dňovej lehoty na opravu od spoločnosti Google, o ktorej sa nedá vyjednávať, ju zverejnili.
Project Zero zvyčajne poskytuje softvérovým spoločnostiam predĺženie o 14 dní v tomto 90-dňovom okne, ak je oprava blízko, ale v prípade spoločnosti Microsoft to tak nebolo.
Presne 90 dní po odhalení odhalil Google ospravedlnenie spoločnosti Microsoft, citujúc: „Oprava je zložitejšia ako pôvodne očakávané a je veľmi pravdepodobné, že kvôli týmto spomienkam nestihneme februárový termín vydania problémy s riadením.
Pozri súvisiace
„Tím je presvedčený, že to bude pripravené na odoslanie 13. marca [2018-03-13], ale toto je nad rámec 90-dňovej zmluvy SLA [dohoda o úrovni služieb] a 14-dňovej ochrannej lehoty na zosúladenie s aktualizáciou utorok.”
Google preto okamžite zverejnil podrobnosti o chybe a používateľom Microsoft Edge prezradil, ako majú byť bez opravy takmer ďalší mesiac.
Našťastie chyba nie je príliš nebezpečná. Bezpečnostná firma Sophos poukázala na to, že to nie je také zlé ako vzdialené spustenie kódu. Je to v skutočnosti bezpečnostný obchvat, ktorý by mohol umožniť útočníkovi, ktorý už získal kontrolu nad a prehliadač používateľa, aby prekonal druhú vrstvu obrany spoločnosti Microsoft, známu ako strážca arbitrárneho kódu (ACG).
„ACG má zabrániť útokom na spustenie kódu na diaľku skôr, ako budú môcť urobiť nejaký pokrok,“ vysvetlil Paul Ducklin zo spoločnosti Sophos v blogovom príspevku. "Veľmi jednoducho povedané, funguje to tak, že sa uzamkne pamäť, ktorú Edge používa na spustenie vlastného softvérového kódu."
Útočník, ktorý používa chybu na získanie kontroly prostredníctvom webovej stránky, ktorú Edge práve načítal, nemôže upraviť spustiteľný kód, ktorý sa už nachádza pamäť, ani nemôžu prideľovať nové pamäťové bloky na ukladanie nečestného kódu, takže spoločnosť Sophos odporučila používateľom Edge, aby sa príliš netrápili o tom.
„[Zatiaľ čo] táto diera neposkytuje podvodníkom priamy spôsob, ako okamžite prevziať kontrolu nad vaším prehliadačom, používatelia [Edge] si môžu je to ako zraniteľnosť, ktorá by mohla zhoršiť zlú vec, a nie v prvom rade zlú vec,“ Ducklin pridané.
Napriek tomu je vždy najlepšie udržiavať počítač čo najbezpečnejší, takže ak používate prehliadač Edge, dávajte pozor na nadchádzajúcu opravu od spoločnosti Microsoft. Je možné, že je súčasťou jeho ďalšieho vydania Patch Tuesday.
