Googlov Project Zero je konec tedna razkril programsko ranljivost v Microsoftovem brskalniku Edge. O napaki so najprej poročali zasebno, a potem, ko Microsoftu ni uspelo pravočasno popraviti težave, je Googlova ekipa Project Zero razkril tehnične podrobnosti ranljivosti skupaj z Microsoftovim odzivom.
Naj bo jasno, ta varnostna ranljivost ni stvar, ki bi jo morali znebiti in odstranite Edge čez. Verjetno vseeno uporabljate drug brskalnik, a dokler se ne popravi, se morda držite Chroma ali Firefoxa. Sama ranljivost vzpostavlja rešitev za enega od Edgeovih vgrajenih varnostnih protiukrepov, Arbitrary Code Guard (ACG). Googlov raziskovalec na področju varnosti Ivan Fratric je izognil ACG in našel način za nalaganje nepodpisane kode v pomnilnik z zlonamernega spletnega mesta, do katerega dostopate prek Microsoft Edge.
Priporočeni videoposnetki
»Popravek je bolj zapleten, kot je bilo sprva pričakovano, in zelo verjetno je, da zaradi teh težav z upravljanjem pomnilnika ne bomo mogli izpolniti februarskega roka za izdajo. Ekipa je prepričana, da bo to pripravljeno za pošiljanje 13. marca,« je Microsoft odgovoril na Fratricevo razkritje.
Povezano
- Ta kritični podvig lahko hekerjem omogoči, da zaobidejo obrambo vašega Maca
- Kitajski hekerji ciljajo na kritično infrastrukturo ZDA, opozarja Microsoft
- Google je pravkar naredil to bistveno varnostno orodje za Gmail popolnoma brezplačno
Vendar je Microsoft dodal, da je zapletenost popravka otežila določitev fiksnega datuma za izdajo. Microsoft naj bi si prizadeval za izdajo popravka sredi marca, vendar ni jasno, ali bo podjetje upoštevalo ta rok, ki si ga je samo naložilo.
O tem slišimo šele zdaj zaradi pravilnika o varnostni ranljivosti Google Project Zero. Ko Project Zero odkrije ranljivost, se ekipa zasebno obrne na proizvajalca izdelka – v tem primer, Microsoft – da proizvajalcu 90 dni časa, da skupaj doseže popravek, preden razkrije ranljivost za javnosti. To posebno razkritje verjetno ne bo nikogar v Microsoftovem sedežu v Redmondu v Washingtonu posebej razveselilo.
Kot Engadget poudarja, to ni prvič, da ima Googlova ekipa za odkrivanje izkoriščanja napačen način drgnil Microsoft. Google in Microsoft sta se v preteklosti skorajda sprla zaradi teh razkritij, pri čemer si je vsako podjetje prizadevalo luknjati v izdelkih drugega, da bi promoviralo svoje. Zdi se, da v tem primeru ni tako, vendar je malo verjetno, da bo kdorkoli v Microsoftu naklonjeno gledal na to varnostno ranljivost, ki je v središču pozornosti.
Priporočila urednikov
- Zakaj Google nekaterim svojim delavcem onemogoča dostop do spleta?
- Googlov tekmec ChatGPT je pravkar začel iskati. Evo, kako to poskusiti
- Zaradi teh dveh novih funkcij Edge je Chrome videti zastarel
- Je macOS varnejši od Windows? To poročilo o zlonamerni programski opremi ima odgovor
- Ta napaka Bing hekerjem omogoča spreminjanje rezultatov iskanja in krajo vaših datotek
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
