MojWindows

Špecializovaný tím Project Zero, ktorý patrí pod spoločnosť Google a zameriava sa na hľadenie chýb vo vlastných a cudzích produktoch, verejne sprístupnil informácie o ďalšej zraniteľnosti v prehliadači Microsoft Edge.

Nedostatok bol odhalený v kompilátore Just-in-Time, ktorý chráni ochranná vrstva Arbitrary Code Guard (ACG) blokujúca webové útoky snažiace sa do pamäte načítať škodlivý kód.

Chyba pri procese prekladu JavaScriptu do natívneho jazyka však umožňuje predpovedať adresy procesov, ktoré budú volané, a zneužitím tohto nedostatku útočník dokáže obísť celú ochranu ACG a následne pracovať s pamäťou zariadenia.

Verejnosť bola o probléme informovaná, nakoľko politika tímu Project Zero je taká, že o odhalených nedostatkoch informuje po uplynutí 90 dní od termínu, kedy ich nahlásil tvorcom dotknutého softvéru. Týmto spôsobom chce na tvorcov trochu pritlačiť, aby sa odstráneniu problémov aktívne venovali.

Bežne však dochádza k situáciám, kedy potrebná oprava mešká a používatelia sú kvôli tomu nechránení. Navyše je o zraniteľnosti informovaná aj verejnosť a potenciálne kriminálne živly, čo môže zvyšovať bezpečnostné riziko. Google si tak za tieto praktiky neraz vyslúžil kritiku.

Ani najnovšiu odhalenú zraniteľnosť, ktorá bolo označená ako stredne závažná, sa počas poskytnutých 90 dní nepodarilo opraviť kvôli jej závažnosti. Microsoft zo strany tímu Project Zero dokonca získal dodatočný 14-dňový odklad, no ani to mu nestačilo a opravná aktualizácia bude vydaná až najbližší mesiac, konkrétne 13. marca.

Náš tip
Uprednostňovanie bezpečnostných aktualizácií pre Windows 10 môže výrazne ohroziť predošlé systémy Windows

Zdroj: Zdnet

19.02.2018

+