Гоогле је открио детаље о прилично озбиљној грешци у веб прегледачу Мицрософт Едге, али Мицрософт неће моћи да реши проблем до средине марта.
Грешка омогућава нападачима да заобиђу Едге безбедносну функцију која се зове Арбитрари Цоде Цоде Гуард (АЦГ) која спречава извршавање злонамерног ЈаваСцрипт -а на веб страници. Проналазачи грешака из Гоогле -овог тима Пројецт Зеро открили су грешку 17. новембра и дали Мицрософту стандардних 90 дана да то поправи пре него што је Гоогле открио недостатак.
Али на дан рока, 15. фебруара, Мицрософт је рекао Пројецт Зеро-у да неће моћи да испуни рок, чак ни са двонедељним продужењем које је Пројецт Зеро очигледно понудио. Тако је Гоогле просуо о недостатку, чија ће поправка доћи 13. марта са Мицрософтовом следећом рундом заказаних ажурирања у уторак.
Корисници Едге -а можда ће до тада желети да се уздрже од коришћења водећег Мицрософтовог прегледача.
ВИШЕ: Едге вс Цхроме против Фирефок: Битка за прегледаче Виндовс 10
Сребрна подлога овде је та што се овај недостатак "не може сам искористити", како је написао истраживач Гоогле Пројецт Зеро Иван Фратриц у коментару на своју оригиналну објаву на блогу.
Да бисте напали туђи Едге прегледач, први корак би био да инфицирате или на други начин компромитујете други процес у свом прегледачу. Тек након тога моћи ћете да пређете на други корак: искористили бисте ову нову ману за замену злонамерног кода на тачно правој тачки у Едгеовој меморији, тако да код замени бенигни код који је Едгеов АЦГ процес требао да покрене.
„Нападач би прво морао да искористи засебну рањивост да би стекао неке могућности у процесу Едге садржаја (као што је способност читања и писања произвољних меморијских локација)“, написао је Фратриц, „након чега би могли да искористе ову рањивост да стекну додатне способности (наиме, могућност покретања произвољног машинског кода). “
Лоша вест је да је први корак вероватно надохват вештих хакера и правилно израђеног злонамерног софтвера. Фратрићево оригинално објављивање на блогу, сада доступно за све, показује вам како тачно да пређете на други корак. Можете се кладити да лоши момци раде на примени Фратриц-овог подухвата доказа о концепту пре него што поправка буде спремна 13. марта.
Предвиђено је да Фратриц објасни још више о томе како све ово функционише 27. априла на безбедносној конференцији Инфилтрате у Мајами Бичу.
Кредит за слику: Т.Даллас/Схуттерстоцк
- Како повећати приватност у Мицрософт Едге -у
- Мелтдовн анд Спецтре: Како заштитити рачунар, Мац и телефон
- Најбоље теме за Виндовс 10 (и како их преузети)