Тимур Кондратьев

Google раскрыла уязвимость в браузере Microsoft Edge

16 февраля исследователи из Google Project Zero раскрыли уязвимость браузера от Microsoft, которую до сих пор не устранили. Эта брешь позволяет обмануть защитные механизмы Arbitrary Code Guard (ACG), встроенные в Microsoft Edge.

532

ACG — технология Windows 10, предотвращающая загрузку вредоносного кода в память. Она позволяет загружать только код с определенной подписью. Однако JIT-компиляторы, которые преобразуют JavaScript в нативный код, создают ACG проблемы. Поэтому Microsoft переместила JIT-компиляцию в отдельный процесс в песочнице.

Изолированный JIT-процесс ответственен за преобразование JavaScript в нативный код и его отображение в процессе вызывающего его контента. Таким образом, собственный JIT-код не может быть загружен в память или изменен. Однако сотрудник Google Project Zero сообщил, что обнаружил, как заставить JIT-процесс загружать неподписанные данные в процесс контента.

В Google выявили данную проблему 17 ноября прошлого года и расценивают ее как угрозу «средней опасности». На закрытие брешей в защите отводится срок в 90 дней, по истечении которого они выкладываются в общий доступ. Представители Microsoft заявили, что решение этой проблемы сложнее, чем ожидалось, поэтому 16 февраля этого года метод взлома браузера был раскрыт. Компания надеется выпустить патч для данной уязвимости с мартовским обновлением безопасности.

Команда исследователей Google Project Zero и раньше находила различные уязвимости и баги в продуктах компании Microsoft.

Следите за новыми постами по любимым темам

Подпишитесь на интересующие вас теги, чтобы следить за новыми постами и быть в курсе событий.

Безопасность
Google
Браузеры
Windows 10
532
Что думаете?
0 комментариев
Сначала интересные
Курсы
набор еще идетонлайн7590₽
набор еще идетонлайнбесплатно
набор еще идетонлайнбесплатно
набор еще идетонлайн2790₽
Все курсы