IT-ИМПУЛЬС
ОБСЛУЖИВАНИЕ ПК ВИДЕОНАБЛЮДЕНИЕ ОБСЛУЖИВАНИЕ 1С УСЛУГИ И ЦЕНЫ
+7 (812) 309-46-35
Контакты Меню
Главная IT НОВОСТИ Эксперты Google опубликовали данные о неисправленной уязвимости в браузере Microsoft Edge
АБОНЕНТСКОЕ ОБСЛУЖИВАНИЕ ТЕХНИКИ Обслуживание компьютеров Обслуживание периферийных устройств Обслуживание торгового оборудования Обслуживание сетей Что такое ИТ-аутсорсинг?
АРЕНДА / ОБСЛУЖИВАНИЕ СЕРВЕРА Аренда сервера 1С сервер Контроллер домена Файловый сервер
ВИДЕОНАБЛЮДЕНИЕ Видеонаблюдение IP видеонаблюдение Гибридное видеонаблюдение
IP-ТЕЛЕФОНИЯ Офисная телефония IP-ТЕЛЕФОНИЯ
УСЛУГИ И ЦЕНЫ
АКЦИИ
КОНТАКТЫ
Обзоры
Статьи
Хостинг
IoT
MongoDB
Безопасность
Взлом
Игрушки
Новости
Утечка данных
Cloudbleed
Cloudflare

Эксперты Google опубликовали данные о неисправленной уязвимости в браузере Microsoft Edge

Специалист Google Project Zero раскрыл информацию о баге в браузере Microsoft Edge, который помогает обойти защитный механизм Arbitrary Code Guard (ACG). Эта функциональность появилась еще в апреле 2017 года, с выходом Windows 10 Creators Update, наряду с Code Integrity Guard. Механизм ACG призван не дать потенциальному атакующему загрузить в память машины неподписанный вредоносный код посредством Edge. Более подробное описание этой сравнительно новой защитной функции можно найти в блоге компании.

Эксперт Google Project Zero Иван Фратрик (Ivan Fratric) рассказал, что существует способ обхода защиты ACG, в результате чего злоумышленник может загрузить неподписанный код в память устройства. Фактически атака может осуществляться посредством вредоносного сайта, который жертве достаточно просто открыть в браузере Edge.

Дело в том, что современные Just-in-Time (JIT) компиляторы  создают определенные проблемы в работе ACG. Из-за этого разработчики Microsoft были вынуждены сделать JIT-компилятор в Edge отдельным процессом, изолировав его в собственной песочнице. Обнаруженный Фратриком баг связан с тем, как данный JIT-процесс записывает исполняемые данные в контентный процесс.

Исследователь пишет, что уведомил разработчиков Microsoft о проблеме еще в ноябре 2017 года, однако исправления для уязвимости по-прежнему нет. Невзирая на этот факт, специалист выждал положенные 90 дней и обнародовал информацию о баге публично.

Представители Microsoft уже сообщили, что исправление не вошло в состав февральского «вторника обновлений», так как обнаруженная проблема оказалась «более комплексной», чем предполагалось изначально. Теперь выход патча запланировал на следующий месяц, то есть на 13 марта 2018 года.

Стоит отметить, что это далеко не первый случай, когда специалисты Google Project Zero обнародуют информацию о проблемах в ПО Microsoft до релиза исправления. К примеру, в феврале 2017 года все тот же Иван Фратрик опубликовал данные о проблеме CVE-2017-0037, найденной в составе Edge и IE. А еще раньше эксперты Google точно так же сообщили об обнаружении серьезной уязвимости в компоненте Windows GDI (Graphics Device Interface).
Источник: xakep.ru
РАССЫЛКА ПОСЛЕДНИХ НОВОСТЕЙ
© 2008-2024 ООО "ИТ-Импульс" Информация на сайте не является публичной офертой
mail@it-impulse.ru 198328,Санкт-Петербург г, ул.Маршала Захарова, д.15/A пом.3Н
+7 (812) 309-46-35 198328,Санкт-Петербург г, ул.Маршала Захарова, д.15/A пом.3Н