Google heeft details onthuld over een behoorlijk ernstige fout in de Edge-webbrowser van Microsoft, maar Microsoft zal het probleem pas midden maart kunnen oplossen.
De fout stelt aanvallers in staat om een Edge-beveiligingsfunctie genaamd Arbitrary Code Guard (ACG) te omzeilen die voorkomt dat kwaadaardig JavaScript wordt uitgevoerd op een webpagina. Bugzoekers van het Project Zero-team van Google vonden de fout op 17 november en gaven Microsoft de standaard 90 dagen om het te repareren voordat Google de fout openbaarde.
Maar op de dag van de deadline, 15 februari, vertelde Microsoft aan Project Zero dat het de deadline niet zou halen, zelfs niet met een verlenging van twee weken die Project Zero blijkbaar had aangeboden. Dus Google heeft de bonen gemorst over de fout, waarvan de oplossing op 13 maart zal komen met Microsoft's volgende Patch Tuesday-ronde van geplande updates.
Edge-gebruikers willen misschien afzien van het gebruik van de vlaggenschipbrowser van Microsoft tot die tijd.
MEER: Edge vs. Chrome vs. Firefox: Battle of the Windows 10 Browsers
De zilveren voering hier is dat deze fout "op zichzelf niet kan worden uitgebuit", zoals Google Project Zero-onderzoeker Ivan Fratric schreef in een opmerking bij zijn oorspronkelijke blogpost.
Om de Edge-browser van iemand anders aan te vallen, zou de eerste stap zijn om een ander proces in hun browser te infecteren of anderszins te compromitteren. Pas daarna zou je verder kunnen gaan met stap twee: je zou deze nieuwe fout gebruiken om kwaadaardige code in te wisselen op precies het juiste punt in het actieve geheugen van Edge, zodat de code de goedaardige code vervangt die het ACG-proces van Edge zou gaan uitvoeren.
"Een aanvaller zou eerst een afzonderlijke kwetsbaarheid moeten misbruiken om bepaalde mogelijkheden in het Edge-inhoudsproces te krijgen (zoals de mogelijkheid om willekeurige geheugenlocaties te lezen en te schrijven)", schreef Fratric, "waarna ze deze kwetsbaarheid zouden kunnen gebruiken om extra mogelijkheden te krijgen. (namelijk de mogelijkheid om willekeurige machinecode uit te voeren)."
Het slechte nieuws is dat stap één waarschijnlijk binnen het bereik ligt van ervaren hackers en goed ontworpen malware. De originele blogpost van Fratric, die nu voor iedereen zichtbaar is, laat je precies zien hoe je verder kunt gaan naar stap twee. Je kunt er zeker van zijn dat de slechteriken bezig zijn om Fratric's proof-of-concept exploit te implementeren voordat de oplossing klaar is op 13 maart.
Fratric zal op 27 april nog meer uitleggen over hoe dit allemaal werkt tijdens de Infiltrate-beveiligingsconferentie in Miami Beach.
Afbeelding tegoed: T.Dallas/Shutterstock
- Hoe u uw privacy in Microsoft Edge kunt vergroten
- Meltdown and Spectre: hoe u uw pc, Mac en telefoon kunt beschermen
- De beste Windows 10-thema's (en hoe ze te downloaden)