Google Project tim otkrio sigurnosni propust u Microsoft Edge browseru

Vesti, 20.02.2018, 09:30 AM

Istraživač Googleovog Project Zero tima Ivan Fratrić otkrio je propust u Microsoft Edgeu zahvaljujući kome napadači mogu zaobići jednu od zaštitnih funkcija Microsoftog browsera - Arbitrary Code Guard (ACG).

Arbitrary Code Guard je relativno nova funkcija Edgea. Microsoft je dodao podršku za ACG u Edge u aprilu prošle godine, sa izdanjem Windows 10 Creators Update. ACG je bila druga od dve nove funkcije za koju je Microsoft rekao da će sprečiti napadače da koriste JavaScript za učitavanje malicioznog koda u memoriju računara preko Edgea.

Sada je otkriven način na koji se ACG može zaobići i koji omogućava napadaču da učita nepotpisani kod u memoriju sa malicioznog web sajta kome se pristupilo iz Egde browsera.

Propust je prijavljen Microsoftu novembra prošle godine, a sada je istekao rok za ispravku propusta koji Project tim daje proizvođačima softvera.

Fratriću su iz Microsofta rekli da je ispravljanje propusta složenije nego što se u početku očekivalo, i da verovatno neće biti u mogućnosti da ispoštuju rok i da u februaru objave ispravku. U Microsoftu se nadaju da će ispravka biti spremna do 13. marta kada bude objavljen martovski mesečni paket zakrpa.

S obzirom da su sada detalji o propustu javno dostupni, oni koji koriste Edge mogli bi da pređu na drugi browser dok ispravka ne bude objavljena.