Služba Google Project Zero zveřejnila podrobnosti o chybě bez opravy v prohlížeči Edge, protože se s ní Microsoft nedokázal vypořádat v 90ti denní lhůtě.

White hackers služby Google Project Zero zveřejnili podrobnosti o neopravené chybě v prohlížeči Edge, protože společnost Microsoft se s ní nedokázala vypořádat v 90denní lhůtě, podle zásad zveřejňování společnosti Google.

Tato chyba mohla být zneužita útočníky, aby obešla Arbitrary Code Guard (ACG), který byl implementován v aktualizaci Windows 10 Creators spolu s Code Integrity Guard (CIG).

Funkce zabezpečení umožňují zabránit zneužití prohlížeče Edge při načítání a spuštění škodlivého kódu.

„Aplikace může přímo načíst škodlivý nativní kód do paměti buď 1) načtením škodlivého DLL / EXE z disku nebo 2) dynamickým generováním / modifikováním kódu v paměti. CIG zabraňuje první metodě tím, že povolí požadavky na podepisování kódu DLL pro Microsoft Edge. Tím je zajištěno, že procesy lze načíst pouze správně podepsané knihovny DLL. ACG tuto skutečnost doplní tím, že zajistí, že podepsané kódové stránky budou neměnné a že nové nepodepsané kódy nemohou být vytvořeny.“ uvádí popis zveřejněný společností Microsoft.

Výzkumný pracovník Googlu Nero Ivan Fratric, který tuto chybu zjistil, prokázal, že funkce ACG může být vynechána. Expert oznámil tuto záležitost společnosti Microsoft dne 17. listopadu. Tech gigant měl zpočátku plánovat zahrnutí opravy do únorových aktualizací Patch Tuesday, ale očividně se něco stalo, protože „oprava je složitější, než se původně předpokládalo.“

Zranitelnost byla označena jako „středně závažná“, Project Zero publikovala podrobnosti o problému na blogu.

V únoru 2017 Fratric publikoval technické detaily týkající se zranitelnosti s vysokou závažností, sledované jako CVE-2017-0037, které mohly zneužít útočníci k zablokování prohlížeče Internet Explorer a Edge a za určitých okolností ke spuštění libovolného kódu.

RV

Zdroj: securityaffairs.co