Google har avslørt detaljer om en ganske alvorlig feil i Microsofts Edge -nettleser, men Microsoft vil ikke kunne fikse problemet før i midten av mars.
Feilen lar angriperne omgå en Edge -sikkerhetsfunksjon kalt Arbitrary Code Guard (ACG) som forhindrer at ondsinnet JavaScript kjøres på en webside. Bug -finnere fra Googles Project Zero -team fant feilen 17. november og ga Microsoft standard 90 dager på å fikse det før Google avslørte feilen.
Men på fristdagen 15. februar fortalte Microsoft Project Zero at det ikke ville være i stand til å gjøre fristen, selv med en to ukers forlengelse som Project Zero tilsynelatende hadde tilbudt. Så Google sølte bønnene om feilen, reparasjonen som kommer 13. mars med Microsofts neste oppdateringsrunde for oppdateringer på tirsdag.
Edge -brukere vil kanskje avstå fra å bruke Microsofts flaggskipleser til da.
MER: Edge vs. Chrome vs. Firefox: Battle of the Windows 10 Browsers
Sølvfôret her er at denne feilen "ikke kan utnyttes alene", som Google Project Zero -forsker Ivan Fratric skrev i en kommentar til sitt opprinnelige blogginnlegg.
For å angripe andres Edge -nettleser, ville trinn ett være å infisere eller på annen måte kompromittere en annen prosess i nettleseren. Først etter det ville du kunne gå videre til trinn to: Du vil bruke denne nye feilen til å bytte inn ondsinnet kode på akkurat det riktige punktet i Edge -minnet, slik at koden erstatter godartet kode som Edge's ACG -prosess var i ferd med å kjøre.
"En angriper må først utnytte et separat sårbarhet for å oppnå noen funksjoner i Edge -innholdsprosessen (for eksempel muligheten til å lese og skrive vilkårlige minnesteder)," skrev Fratric, "hvoretter de kunne bruke denne sårbarheten til å få ytterligere evner (nemlig muligheten til å kjøre vilkårlig maskinkode). "
Den dårlige nyheten er at trinn ett sannsynligvis er innen rekkevidde for dyktige hackere og riktig utformet skadelig programvare. Fratrics opprinnelige blogginnlegg, nå tilgjengelig for alle å se, viser deg nøyaktig hvordan du går videre til trinn to. Du kan satse på at skurkene jobber med å implementere Fratric's proof-of-concept-utnyttelse før reparasjonen er klar 13. mars.
Fratric skal etter planen forklare enda mer om hvordan alt dette fungerer 27. april på sikkerhetskonferansen Infiltrate i Miami Beach.
Bildekreditt: T.Dallas/Shutterstock
- Hvordan øke personvernet ditt i Microsoft Edge
- Meltdown and Specter: Slik beskytter du din PC, Mac og telefon
- De beste Windows 10 -temaene (og hvordan du laster dem ned)