Googles Project Zero afslørede en softwaresårbarhed i Microsofts Edge-browser i weekenden. Fejlen blev først rapporteret privat, men efter at Microsoft ikke formåede at rette problemet i tide, Googles Project Zero-team afslørede de tekniske detaljer af sårbarheden sammen med Microsofts svar.
Lad os dog være klare, denne sikkerhedssårbarhed er ikke den slags ting, du behøver for at løbe tør og afinstaller Edge over. Chancerne er, at du alligevel bruger en anden browser, men indtil den er rettet, kan du holde dig til Chrome eller Firefox. Selve sårbarheden etablerer en løsning for en af Edges indbyggede sikkerhedsmodforanstaltninger, Arbitrary Code Guard (ACG). Googles sikkerhedsforsker, Ivan Fratric, omgåede ACG, fandt en måde at indlæse usigneret kode i hukommelsen fra et ondsindet websted, der er tilgået via Microsoft Edge.
Anbefalede videoer
"Rettelsen er mere kompleks end oprindeligt forventet, og det er meget sandsynligt, at vi ikke vil være i stand til at overholde udgivelsesfristen i februar på grund af disse problemer med hukommelsesstyring. Holdet er overbevist om, at dette vil være klar til afsendelse den 13. marts,” svarede Microsoft på Fratrics afsløring.
Relaterede
- Denne kritiske udnyttelse kan lade hackere omgå din Macs forsvar
- Kinesiske hackere retter sig mod kritisk amerikansk infrastruktur, advarer Microsoft
- Google har netop gjort dette vigtige Gmail-sikkerhedsværktøj helt gratis
Microsoft tilføjede dog, at kompleksiteten af rettelsen har gjort det vanskeligt at fastlægge en fast dato for udgivelse. Microsoft sigter efter sigende på en udgivelse i midten af marts for patchen, men det er uklart, om virksomheden vil overholde den selvpålagte deadline.
Vi hører kun om dette nu på grund af Google Project Zeros sikkerhedssårbarhedspolitik. Når Project Zero opdager en sårbarhed, henvender teamet sig privat til producenten af produktet - i denne tilfælde, Microsoft — giver producenten 90 dage til at få en løsning sammen, før de afslører sårbarheden over for offentlig. Denne særlige afsløring vil sandsynligvis ikke gøre nogen i Microsofts hovedkvarter i Redmond, Washington, særlig glade.
Som Engadget påpeger, det er ikke første gang, Googles exploit-finding-team har gned Microsoft på den forkerte måde. Google og Microsoft er så godt som stødt på disse afsløringer tidligere, hvor hver virksomhed har gjort sig umage med at stikke huller i den andens produkter for at promovere deres egne. Det ser ikke ud til at være tilfældet her, men det er usandsynligt, at nogen hos Microsoft vil se positivt på, at denne sikkerhedssårbarhed bliver sat i søgelyset.
Redaktørens anbefalinger
- Hvorfor skærer Google ned på internetadgangen for nogle af sine medarbejdere?
- Googles ChatGPT-rival er netop lanceret i søgning. Sådan prøver du det
- Disse 2 nye Edge-funktioner får Chrome til at se forældet ud
- Er macOS mere sikkert end Windows? Denne malwarerapport har svaret
- Denne Bing-fejl lod hackere ændre søgeresultater og stjæle dine filer
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
