Googles Project Zero avslørte en programvaresårbarhet i Microsofts Edge-nettleser i løpet av helgen. Feilen ble først rapportert privat, men etter at Microsoft ikke klarte å rette opp problemet i tide, Googles Project Zero-team avslørte de tekniske detaljene av sårbarheten sammen med Microsofts svar.
La oss imidlertid være klare, denne sikkerhetssårbarheten er ikke den typen ting du trenger for å gå tom og avinstaller Edge over. Sjansen er stor for at du bruker en annen nettleser uansett, men til den er fikset, hold deg kanskje til Chrome eller Firefox. Selve sårbarheten etablerer en løsning for en av Edges innebygde sikkerhetsmottiltak, Arbitrary Code Guard (ACG). Ved å omgå ACG fant Googles sikkerhetsforsker Ivan Fratric en måte å laste usignert kode inn i minnet fra ondsinnet nettsted som er tilgjengelig via Microsoft Edge.
Anbefalte videoer
"Reparasjonen er mer kompleks enn først forventet, og det er svært sannsynlig at vi ikke vil være i stand til å overholde utgivelsesfristen i februar på grunn av disse minneadministrasjonsproblemene. Teamet er positive til at dette vil være klart til å sendes 13. mars,» svarte Microsoft på Fratrics avsløring.
I slekt
- Denne kritiske utnyttelsen kan la hackere omgå Mac-ens forsvar
- Kinesiske hackere retter seg mot kritisk amerikansk infrastruktur, advarer Microsoft
- Google har nettopp gjort dette viktige sikkerhetsverktøyet for Gmail helt gratis
Imidlertid la Microsoft til, at kompleksiteten til reparasjonen har gjort det vanskelig å fastsette en fast dato for utgivelse. Microsoft sikter visstnok mot en utgivelse i midten av mars for oppdateringen, men det er uklart om selskapet vil ta den selvpålagte fristen.
Vi hører bare om dette nå på grunn av Google Project Zeros sikkerhetssårbarhetspolicy. Når Project Zero oppdager en sårbarhet, henvender teamet seg privat til produsenten av produktet – i dette tilfelle, Microsoft — gir produsenten 90 dager til å finne en løsning før de avslører sårbarheten til offentlig. Denne spesielle avsløringen vil neppe gjøre noen i Microsofts hovedkvarter i Redmond, Washington, spesielt glade.
Som Engadget påpeker, er det ikke første gang Googles utnyttelses-finning-team har det gnidd Microsoft feil vei. Google og Microsoft har så godt som kommet på kant med disse avsløringene tidligere, og hvert selskap har prøvd å stikke hull i den andres produkter for å markedsføre sine egne. Det ser ikke ut til å være tilfelle her, men det er usannsynlig at noen hos Microsoft kommer til å se positivt på at denne sikkerhetssårbarheten blir satt i søkelyset.
Redaktørenes anbefalinger
- Hvorfor kutter Google nettilgangen for noen av sine arbeidere?
- Googles ChatGPT-rival ble nettopp lansert i søk. Slik prøver du det
- Disse to nye Edge-funksjonene får Chrome til å se utdatert ut
- Er macOS sikrere enn Windows? Denne skadevarerapporten har svaret
- Denne Bing-feilen lar hackere endre søkeresultater og stjele filene dine
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
