Microsoft Edge; προσοχή μέχρι τον επόμενο μήνα


Microsoft Edge; Η ομάδα Project Zero της Google δημοσίευσε αρκετές λεπτομέρειες που βοηθούν στην παράκαμψη μιας σημαντικής τεχνικής ασφαλείας στο Edge.

Ας δούμε που είναι το πρόβλημα:Microsoft Edge

Το Arbitrary Code Guard (ACG), κυκλοφόρησε με την έκδοση του Windows 10 Creators Update για να βοηθήσει στην αποτροπή των επιθέσεων από τον ιστό που προσπαθούν να φορτώσουν κακόβουλο κώδικα στη μνήμη. Η συγκεκριμένη τεχνική διασφαλίζει ότι η μνήμη δέχεται μόνο σωστά υπογεγραμμένο κώδικα.

Ωστόσο, όπως εξηγεί η Microsoft, οι Just-in-Time (JIT) compilers που χρησιμοποιούνται στα σύγχρονα προγράμματα περιήγησης ιστού δημιουργούν ένα πρόβλημα για το ACG. Οι JIT compilers μετατρέπουν το JavaScript σε εγγενή κώδικα, ο οποίος δεν έχει υπογραφεί.

Έτσι για να διασφαλιστεί ότι οι JIT compilers συνεχίζουν να λειτουργούν ακόμα και όταν το ACG είναι ενεργοποιημένο, οι προγραμματιστές της εταιρείας διαχώρισαν το JIT του Microsoft Edge σε μια ξεχωριστή διεργασία που εκτελείται στο δικό της απομονωμένο sandbox.

Εδώ όμως ήρθαν οι ερευνητές από το Project Zero της Google. Οι ερευνητές διαπίστωσαν ότι υπάρχει ένα πρόβλημα στον τρόπο που η διεργασία JIT γράφει εκτελέσιμα δεδομένα στη στο περιεχόμενο.

Η ‘παράκαμψη του ACG χρησιμοποιώντας το UnmapViewofFile‘ επιτρέπει σε μια διεργασία περιεχομένου να προβλέψει ποια διεύθυνση μιας δεργασίας JIT μπορεί να καλέσει το VirtualAllocEx(), αλλά και τη διεργασία περιεχομένου που ετοιμάζεται να “διαθέσει μια περιοχή εγγράψιμης μνήμης στην ίδια διεύθυνση του JIT server για να ένα εκτελέσιμο που θα τρέξει σύντομα”.

Η Google ανέφερε το θέμα στη Microsoft στα μέσα Νοεμβρίου και δημοσίευσε χθες τις λεπτομέρειες για το exploit, καθώς πέρασε η προθεσμία των 90 ημερών.

Η Microsoft επιβεβαίωσε την παράκαμψη του ACG σε κάποιο σημείο του Patch Tuesday που κυκλοφόρησε τον Φεβρουάριο. Όπως φαίνεται η εταιρεία είχε σκοπό να διορθώσει το ζήτημα μέχρι τότε, αλλά βρήκε ότι ήταν λίγο “πιο περίπλοκο” από ό, τι νόμιζε αρχικά.

Έτσι η λύση για ένα ασφαλή Microsoft Edge αναμένεται να κυκλοφορήσει με το Patch Tuesday του Μάρτη.

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news