Google maakt ongepatchte kwetsbaarheid in Edge openbaar

[Captain Kirk]

Google heeft details openbaar gemaakt van een kwetsbaarheid in Microsoft Edge, ook al is een update van Microsoft nog niet voorhanden. Via de kwetsbaarheid is het mogelijk om een beveiligingsmaatregel van de browser te omzeilen. Het gaat om Arbitrary Code Guard (ACG), een maatregel die moet voorkomen dat een aanvaller kwaadaardige code in het geheugen kan laden.

Door ACG en een andere beveiligingsmaatregel genaamd Code Integrity Guard kan een proces alleen gesigneerde code in het geheugen laden. Dit zorgt echter voor een probleem met Just-in-Time (JIT) compilers die JavaScript-code naar 'native code' omzetten. Daarbij wordt er namelijk ook ongesigneerde code gegenereerd. Om dit toch te laten werken heeft Microsoft de JIT-functionaliteit naar een apart proces verplaatst dat in een eigen geïsoleerde sandbox draait.

Het JIT-proces is verantwoordelijk voor het compileren van JavaScript naar native code en het plaatsen hiervan in het contentproces dat hierom vraagt. Op deze manier kan het contentproces nooit zelf direct zijn eigen JIT-codepagina's laden of aanpassen. Google ontdekte een manier waarbij het JIT-proces uitvoerbare data naar het contenproces kan schrijven. De impact van de kwetsbaarheid is beoordeeld als "medium".

Google waarschuwde Microsoft op 17 november. De softwaregigant liet weten dat het een veel complexer probleem is om te verhelpen dan in eerste instantie werd gedacht. Daardoor zou de update niet klaar zijn voor de patchdinsdag van februari. Microsoft zegt dat het probleem met de patchdinsdag van maart zeker wordt verholpen. Google geeft organisaties 90 dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen. Een deadline die nog met twee weken kan worden uitgebreid. Aangezien Microsoft niet aan dit tijdsvenster heeft voldaan zijn de details nu openbaar gemaakt.

 

 

bron: security.nl