Googlen Project Zero paljasti ohjelmistohaavoittuvuuden Microsoftin Edge-selaimessa viikonloppuna. Virheestä ilmoitettiin ensin yksityisesti, mutta kun Microsoft ei korjannut ongelmaa ajoissa, Googlen Project Zero -tiimi paljasti tekniset yksityiskohdat haavoittuvuuden ja Microsoftin vastauksen kanssa.
Tehdään kuitenkin selväksi, että tämä tietoturvahaavoittuvuus ei ole sellainen asia, joka sinun tarvitsee loppua poista Edge yli. Todennäköisesti käytät joka tapauksessa toista selainta, mutta kunnes se on korjattu, voit pysyä Chromessa tai Firefoxissa. Haavoittuvuus itsessään luo kiertotavan yhdelle Edgen sisäänrakennetuista suojausvastatoimista, Arbitrary Code Guard (ACG) -suojauksesta. Kiertäen ACG: n Googlen tietoturvatutkija Ivan Fratric löysi tavan ladata allekirjoittamatonta koodia muistiin haitalliselta verkkosivustolta, jota käytetään Microsoft Edgen kautta.
Suositellut videot
"Korjaus on monimutkaisempi kuin alun perin odotettiin, ja on erittäin todennäköistä, että emme pysty noudattamaan helmikuun julkaisun määräaikaa näiden muistinhallintaongelmien vuoksi. Tiimi on varma siitä, että tämä on valmis toimitettavaksi 13. maaliskuuta", Microsoft vastasi Fratricin ilmoitukseen.
Liittyvät
- Tämä kriittinen hyväksikäyttö voi antaa hakkereille mahdollisuuden ohittaa Macisi puolustukset
- Microsoft varoittaa, että kiinalaiset hakkerit hyökkäävät kriittiseen Yhdysvaltain infrastruktuuriin
- Google teki juuri tästä tärkeästä Gmail-suojaustyökalusta täysin ilmaisen
Microsoft kuitenkin lisäsi, että korjauksen monimutkaisuus on vaikeuttanut kiinteän julkaisupäivämäärän määrittämistä. Microsoft pyrkii julkaisemaan korjaustiedoston maaliskuun puolivälissä, mutta on epäselvää, aikooko yritys noudattaa itse määräämää määräaikaa.
Kuulemme tästä vasta nyt Google Project Zeron tietoturvahaavoittuvuuskäytännön vuoksi. Kun Project Zero löytää haavoittuvuuden, tiimi ottaa yhteyttä yksityisesti tuotteen valmistajaan – tässä tapauksessa Microsoft – antaa valmistajalle 90 päivää aikaa korjata yhdessä, ennen kuin se paljastaa haavoittuvuuden julkinen. Tämä paljastaminen ei todennäköisesti tee ketään Microsoftin Redmondissa, Washingtonin päämajassa erityisen onnelliseksi.
Kuten Engadget huomauttaa, se ei ole ensimmäinen kerta, kun Googlen hyväksikäyttöetsintätiimi tekee hieroi Microsoftia väärin. Google ja Microsoft ovat vain törmänneet näihin paljastuksiin aiemmin, ja jokainen yritys on vaivannut tunkeakseen reikiä toistensa tuotteisiin mainostaakseen omiaan. Näin ei näytä olevan tässä, mutta on epätodennäköistä, että kukaan Microsoftissa suhtautuu myönteisesti tähän tietoturva-aukkoon.
Toimittajien suositukset
- Miksi Google katkaisee joidenkin työntekijöiden pääsyn verkkoon?
- Googlen ChatGPT-kilpailija julkaisi juuri haun. Näin voit kokeilla sitä
- Nämä kaksi uutta Edge-ominaisuutta saavat Chromen näyttämään vanhentuneelta
- Onko macOS turvallisempi kuin Windows? Tässä haittaohjelmaraportissa on vastaus
- Tämä Bing-virhe antaa hakkereille mahdollisuuden muuttaa hakutuloksia ja varastaa tiedostojasi
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
