Google trouve une faille de sécurité dans Microsoft Edge

 Clé de sécurité Google a trouvé une faille de sécurité dans le navigateur de Microsoft Edge, annonçant sa découverte après que Microsoft n’a pas réussi à corriger la faiblesse dans le temps imparti. La réponse de Microsoft quant à pourquoi ils ont été incapables d’inclure une mise à jour de sécurité pour cette faille est que le problème était trop compliqué pour que quelque chose soit prêt pour la mise à jour de février

À propos de la faille Garde (ACG) avec la mise à jour du créateur. Cette modification de Microsoft Edge visait à atténuer l’exécution de code natif arbitraire. Avec d’autres navigateurs Web, la norme est Just-in-Time (JIT). ACG et JIT ont des problèmes de collaboration. Pour que les choses fonctionnent bien, Microsoft a mis JIT dans un sandbox isolé pour fonctionner en tant que processus séparé.

Cela compromet la sécurité en permettant au processus de contenu de prédire ce que le processus JIT va appeler sa fonction VirtualAllocEc () prochain. Selon les rapports, le processus de contenu peut: Annuler le mappage de la mémoire partagée mappée ci-dessus à l’aide de UnmapViewOfFile (); Allouer une région de mémoire inscriptible sur la même adresse Le serveur JIT va écrire et écrire une charge utile bientôt-être-exécutable là et; Lorsque le processus JIT appelle VirtualAllocEx (), même si la mémoire est déjà allouée, l’appel va aboutir et la protection de la mémoire va être définie sur PAGE_EXECUTE_READ.

Ce qui est en train d’être fait

Les attaquants sont incapables de l’exploiter par eux-mêmes. Il doit y avoir une vulnérabilité distincte attaquée avant cette faille l’attaquant gagne avantage en utilisant la faille. Aucun mot sur ce que cette vulnérabilité est ou quand un correctif sera disponible a été publié.

La faille a la classification de faille de sécurité moyenne, quelque chose que Google a trouvé en novembre 2017. Google essaye d’obtenir des compagnies de technologie pour fixer la sécurité des failles rapides mais c’est quelque chose que de nombreuses entreprises, comme Microsoft, ne sont pas prêtes à faire.

Pour les utilisateurs, ces failles de sécurité peuvent sembler anodines à moins qu’elles n’affectent leur vie quotidienne. Cependant, les entreprises technologiques ont la responsabilité de s’assurer que leurs utilisateurs sont en sécurité et que leurs produits sont régulièrement mis à jour avec des correctifs de sécurité. Google et Microsoft ont été en désaccord à ce sujet pendant un certain temps que les politiques de Google ne sont pas au goût de Microsoft. Google a une équipe qui trouve des failles dans les systèmes et donne à l’entreprise une période de 90 jours pour résoudre le problème. Après 90 jours, Google peut divulguer l’information de la faille au public

Microsoft prévoit d’avoir un correctif de sécurité pour ce problème dans la mise à jour Windows 10 de mars 2018