Googles Project Zero avslöjade en mjukvarusårbarhet i Microsofts Edge-webbläsare under helgen. Felet rapporterades först privat men efter att Microsoft inte lyckades åtgärda problemet i tid, Googles Project Zero-team avslöjade de tekniska detaljerna av sårbarheten tillsammans med Microsofts svar.
Låt oss dock vara tydliga, denna säkerhetssårbarhet är inte den typ av sak du behöver för att ta slut och avinstallera Edge över. Chansen är stor att du använder en annan webbläsare ändå, men tills det är fixat kanske du håller dig till Chrome eller Firefox. Sårbarheten i sig etablerar en lösning för en av Edges inbyggda säkerhetsmotåtgärder, Arbitrary Code Guard (ACG). Googles säkerhetsforskare Ivan Fratric kringgick ACG och hittade ett sätt att ladda osignerad kod till minnet från skadlig webbplats som nås via Microsoft Edge.
Rekommenderade videor
"Lösningen är mer komplex än vad som ursprungligen förväntades, och det är mycket troligt att vi inte kommer att kunna hålla tidsfristen för release i februari på grund av dessa minneshanteringsproblem. Teamet är övertygat om att detta kommer att vara klart att skickas den 13 mars”, svarade Microsoft på Fratrics avslöjande.
Relaterad
- Denna kritiska exploatering kan låta hackare kringgå din Macs försvar
- Kinesiska hackare riktar in sig på kritisk amerikansk infrastruktur, varnar Microsoft
- Google gjorde just detta viktiga säkerhetsverktyg för Gmail helt gratis
Men, tillade Microsoft, har komplexiteten i fixen gjort det svårt att fastställa ett fast datum för release. Microsoft siktar enligt uppgift på en release i mitten av mars för patchen, men det är oklart om företaget kommer att hålla den självpåtagna deadline.
Vi hör bara om detta nu på grund av Google Project Zeros policy för säkerhetssårbarhet. När Project Zero upptäcker en sårbarhet, kontaktar teamet privat till tillverkaren av produkten – i detta fall, Microsoft — ger tillverkaren 90 dagar på sig att fixa ihop innan de avslöjar sårbarheten för offentlig. Det här avslöjandet kommer sannolikt inte att göra någon i Microsofts huvudkontor i Redmond, Washington, särskilt glad.
Som Engadget påpekar, det är inte första gången Googles exploateringsteam har det gnuggade Microsoft på fel sätt. Google och Microsoft har så gott som kommit till slag över dessa avslöjanden tidigare, där varje företag har ansträngt sig för att sticka hål i det andras produkter för att marknadsföra sina egna. Det verkar inte vara fallet här men det är osannolikt att någon på Microsoft kommer att se positivt på denna säkerhetssårbarhet som hamnar i rampljuset.
Redaktörens rekommendationer
- Varför minskar Google webbåtkomsten för vissa av sina anställda?
- Googles ChatGPT-konkurrent har precis lanserats i sökningen. Så här provar du
- Dessa två nya Edge-funktioner får Chrome att se föråldrat ut
- Är macOS säkrare än Windows? Den här rapporten om skadlig programvara har svaret
- Detta Bing-fel låter hackare ändra sökresultat och stjäla dina filer
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.