A Google Project Zero egy szoftversérülékenységet hozott nyilvánosságra a Microsoft Edge böngészőjében a hétvégén. A hibát először privátban jelentették, de miután a Microsoftnak nem sikerült időben javítania a problémát, a Google Project Zero csapata elárulta a technikai részleteket a sérülékenységről a Microsoft válaszával együtt.
Tisztázzuk azonban, ez a biztonsági rés nem az a fajta dolog, amelyet ki kell fogynia távolítsa el az Edge-t felett. Valószínű, hogy egyébként másik böngészőt használ, de amíg meg nem oldja, ragaszkodjon a Chrome-hoz vagy a Firefoxhoz. Maga a sérülékenység megoldást jelent az Edge egyik beépített biztonsági ellenintézkedése, az Arbitrary Code Guard (ACG) ellen. Ivan Fratric, a Google biztonsági kutatója az ACG-t megkerülve megtalálta a módját, hogy aláíratlan kódot töltsön be a memóriába a Microsoft Edge-en keresztül elérhető rosszindulatú webhelyről.
Ajánlott videók
„A javítás bonyolultabb, mint azt eredetileg várták, és nagyon valószínű, hogy a memóriakezelési problémák miatt nem fogjuk tudni tartani a februári kiadási határidőt. A csapat biztos abban, hogy ez március 13-án kész lesz a szállításra” – válaszolta a Microsoft a Fratric közleményére.
Összefüggő
- Ez a kritikus kizsákmányolás lehetővé teheti a hackerek számára, hogy megkerüljék a Mac védelmét
- Kínai hackerek kritikus amerikai infrastruktúrát céloznak meg – figyelmeztet a Microsoft
- A Google most teljesen ingyenessé tette ezt a létfontosságú Gmail biztonsági eszközt
A Microsoft azonban hozzátette, a javítás összetettsége megnehezítette a fix megjelenési dátum meghatározását. A Microsoft a hírek szerint a javítás március közepére törekszik, de nem világos, hogy a cég betartja-e ezt a saját maga által megszabott határidőt.
Most csak a Google Project Zero biztonsági résekre vonatkozó szabályzata miatt hallunk erről. Amikor a Project Zero sebezhetőséget fedez fel, a csapat privát módon felveszi a kapcsolatot a termék gyártójával – ebben eset, a Microsoft – 90 napot ad a gyártónak a javításra, mielőtt nyilvánosságra hozzák a sebezhetőséget a nyilvános. Ez a konkrét közzététel valószínűleg senkit sem fog különösebben boldoggá tenni a Microsoft washingtoni redmondi központjában.
Mint Engadget rámutat, nem ez az első alkalom, hogy a Google exploit-finding-csapata rossz irányba dörzsölte a Microsoftot. A Google és a Microsoft a múltban döbbenetet értek ezeken a közzétételeken, és mindegyik vállalat igyekezett lyukakat szúrni a másik termékébe, hogy népszerűsítse a sajátját. Úgy tűnik, hogy itt nem ez a helyzet, de nem valószínű, hogy a Microsoftnál bárki is jó szemmel nézné, ha ez a biztonsági rés reflektorfénybe kerül.
Szerkesztői ajánlások
- Miért csökkenti a Google egyes dolgozói webhozzáférését?
- A Google ChatGPT riválisa most indult a keresésben. Íme, hogyan próbálja ki
- Ez a két új Edge-funkció elavulttá teszi a Chrome-ot
- A macOS biztonságosabb, mint a Windows? Ez a rosszindulatú programjelentés tartalmazza a választ
- Ez a Bing hiba lehetővé teszi a hackerek számára, hogy módosítsák a keresési eredményeket, és ellopják a fájlokat
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.