Microsoft Edge; προσοχή μέχρι τον επόμενο μήνα

Microsoft Edge; Η ομάδα Project Zero της Google δημοσίευσε αρκετές λεπτομέρειες που βοηθούν στην παράκαμψη μιας σημαντικής τεχνικής ασφαλείας στο Edge.

Ας δούμε που είναι το πρόβλημα:Microsoft Edge

Το Arbitrary Code Guard (ACG), κυκλοφόρησε με την έκδοση του Windows 10 Creators Update για να βοηθήσει στην αποτροπή των επιθέσεων από τον ιστό που προσπαθούν να φορτώσουν κακόβουλο κώδικα στη μνήμη. Η συγκεκριμένη τεχνική διασφαλίζει ότι η μνήμη δέχεται μόνο σωστά υπογεγραμμένο κώδικα.

Ωστόσο, όπως εξηγεί η Microsoft, οι Just-in-Time (JIT) compilers που χρησιμοποιούνται στα σύγχρονα προγράμματα περιήγησης ιστού δημιουργούν ένα πρόβλημα για το ACG. Οι JIT compilers μετατρέπουν το JavaScript σε εγγενή κώδικα, ο οποίος δεν έχει υπογραφεί.

Έτσι για να διασφαλιστεί ότι οι JIT compilers συνεχίζουν να λειτουργούν ακόμα και όταν το ACG είναι ενεργοποιημένο, οι προγραμματιστές της εταιρείας διαχώρισαν το JIT του Microsoft Edge σε μια ξεχωριστή διεργασία που εκτελείται στο δικό της απομονωμένο sandbox.

Εδώ όμως ήρθαν οι ερευνητές από το Project Zero της Google. Οι ερευνητές διαπίστωσαν ότι υπάρχει ένα πρόβλημα στον τρόπο που η διεργασία JIT γράφει εκτελέσιμα δεδομένα στη στο περιεχόμενο.

Η ‘παράκαμψη του ACG χρησιμοποιώντας το UnmapViewofFile‘ επιτρέπει σε μια διεργασία περιεχομένου να προβλέψει ποια διεύθυνση μιας δεργασίας JIT μπορεί να καλέσει το VirtualAllocEx(), αλλά και τη διεργασία περιεχομένου που ετοιμάζεται να “διαθέσει μια περιοχή εγγράψιμης μνήμης στην ίδια διεύθυνση του JIT server για να ένα εκτελέσιμο που θα τρέξει σύντομα”.

Η Google ανέφερε το θέμα στη Microsoft στα μέσα Νοεμβρίου και δημοσίευσε χθες τις λεπτομέρειες για το exploit, καθώς πέρασε η προθεσμία των 90 ημερών.

Η Microsoft επιβεβαίωσε την παράκαμψη του ACG σε κάποιο σημείο του Patch Tuesday που κυκλοφόρησε τον Φεβρουάριο. Όπως φαίνεται η εταιρεία είχε σκοπό να διορθώσει το ζήτημα μέχρι τότε, αλλά βρήκε ότι ήταν λίγο “πιο περίπλοκο” από ό, τι νόμιζε αρχικά.

Έτσι η λύση για ένα ασφαλή Microsoft Edge αναμένεται να κυκλοφορήσει με το Patch Tuesday του Μάρτη.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.097 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).