Microsoft Edge; προσοχή μέχρι τον επόμενο μήνα

Microsoft Edge; Η ομάδα Project Zero της Google δημοσίευσε αρκετές λεπτομέρειες που βοηθούν στην παράκαμψη μιας σημαντικής τεχνικής ασφαλείας στο Edge.

Ας δούμε που είναι το πρόβλημα:Microsoft Edge

Το Arbitrary Code Guard (ACG), κυκλοφόρησε με την έκδοση του Windows 10 Creators Update για να βοηθήσει στην αποτροπή των επιθέσεων από τον ιστό που προσπαθούν να φορτώσουν κακόβουλο κώδικα στη μνήμη. Η συγκεκριμένη τεχνική διασφαλίζει ότι η μνήμη δέχεται μόνο σωστά υπογεγραμμένο κώδικα.

Ωστόσο, όπως εξηγεί η Microsoft, οι Just-in-Time (JIT) compilers που χρησιμοποιούνται στα σύγχρονα προγράμματα περιήγησης ιστού δημιουργούν ένα πρόβλημα για το ACG. Οι JIT compilers μετατρέπουν το JavaScript σε εγγενή κώδικα, ο οποίος δεν έχει υπογραφεί.

Έτσι για να διασφαλιστεί ότι οι JIT compilers συνεχίζουν να λειτουργούν ακόμα και όταν το ACG είναι ενεργοποιημένο, οι προγραμματιστές της εταιρείας διαχώρισαν το JIT του Microsoft Edge σε μια ξεχωριστή διεργασία που εκτελείται στο δικό της απομονωμένο sandbox.

Εδώ όμως ήρθαν οι ερευνητές από το Project Zero της Google. Οι ερευνητές διαπίστωσαν ότι υπάρχει ένα πρόβλημα στον τρόπο που η διεργασία JIT γράφει εκτελέσιμα δεδομένα στη στο περιεχόμενο.

  Facebook Πώς αποτρέπει την κατάχρηση της πλατφόρμας

Η ‘παράκαμψη του ACG χρησιμοποιώντας το UnmapViewofFile‘ επιτρέπει σε μια διεργασία περιεχομένου να προβλέψει ποια διεύθυνση μιας δεργασίας JIT μπορεί να καλέσει το VirtualAllocEx(), αλλά και τη διεργασία περιεχομένου που ετοιμάζεται να “διαθέσει μια περιοχή εγγράψιμης μνήμης στην ίδια διεύθυνση του JIT server για να ένα εκτελέσιμο που θα τρέξει σύντομα”.

Η Google ανέφερε το θέμα στη Microsoft στα μέσα Νοεμβρίου και δημοσίευσε χθες τις λεπτομέρειες για το exploit, καθώς πέρασε η προθεσμία των 90 ημερών.

Η Microsoft επιβεβαίωσε την παράκαμψη του ACG σε κάποιο σημείο του Patch Tuesday που κυκλοφόρησε τον Φεβρουάριο. Όπως φαίνεται η εταιρεία είχε σκοπό να διορθώσει το ζήτημα μέχρι τότε, αλλά βρήκε ότι ήταν λίγο “πιο περίπλοκο” από ό, τι νόμιζε αρχικά.

Έτσι η λύση για ένα ασφαλή Microsoft Edge αναμένεται να κυκλοφορήσει με το Patch Tuesday του Μάρτη.

Εγγραφή στο iGuRu.gr μέσω email

Το email σας για την αποστολή κάθε νέας δημοσίευσης

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Αφήστε μια απάντηση

Your email address will not be published.

7  +  2  =  

Previous Story

Subs Heroes ιταλικό ντοκιμαντέρ για τους υπόγειους μεταφραστές

Next Story

Αποκτήστε πρόσβαση και πάλι στο Προβολή εικόνας της Google