Google hat Details zu einer Sicherheitslücke im Browser Edge veröffentlicht, da Microsoft das Loch nicht innerhalb der gesetzten Frist von 90 Tagen geschlossen hat. Entdeckt wurde die Anfälligkeit von Mitarbeitern von Googles Project Zero. Sie erlaubt es, eine wichtige Sicherheitsfunktion von Edge zu umgehen.
Das Arbitrary Code Guard (ACG) genannte Feature hatte Microsoft mit dem Creators Update für Windows 10 eingeführt, also vor rund einem Jahr. Es soll sicherherstellen, dass nur korrekt signierter Code in den Speicher geladen werden kann.
Allerdings muss der Browser eine Ausnahme machen: Just-in-Time-Compiler (JIT) moderner Browser wandeln JavaScript in nativen Code um, wovon Teile unsigniert sein können und in einem eigenen Prozess ausgeführt werden. Damit JIT-Compiler bei aktiviertem ACG funktionieren, gibt Microsoft dem JIT-Compiler von Edge einen separaten Prozess und führt diesen in einer eigenen isolierten Sandbox aus.
„Der JIT-Prozess ist für die Kompilierung von JavaScript zu nativen Code und die Zuordnung zum zugehörigen Inhaltsprozess verantwortlich“, erläutert Microsoft die Funktion. „Auf diese Art ist es dem Inhaltsprozess selbst niemals erlaubt, seine eigene JIT-Code-Seite direkt zuzuordnen oder zu verändern.“
Der von Google-Forschern entdeckte Fehler entsteht, wenn der JIT-Prozess ausführbare Daten in den Inhaltsprozess schreibt. Demnach ist ein kompromittierter Inhaltsprozess in der Lage, die Speicheradresse eines JIT-Prozesses vorherzusagen. Das wiederum soll es dem Inhaltsprozess erlauben, „eine schreibbare Speicherregion“ an der Adresse zu nutzen, auf die der JIT-Server zugreifen wird, um ihm ausführbaren Code unterzuschieben.
Die Anfälligkeit wird als mittelschwer eingestuft. Microsoft weiß seit Mitte November von dem Problem. Es teilte Google kurz vor seinem Februar-Patchday mit, die Entwicklung eines Fixes sei „komplizierter als anfänglich gedacht“. Deswegen sei es nicht möglich, den Termin am 13. Februar einzuhalten. „Das Team ist optimistisch, dass der Fix rechtzeitig für den 13. März bereit ist, allerdings liegt dieser Termin außerhalb der 90-Tage-Frist und einer 14-tägigen Nachfrist zur Angleichung an den Patch-Dienstag.“ Daraufhin veröffentlichte Google den Bug am 15. Februar, zwei Tage nach Microsofts Februar-Patchday.
Report: State of Digital Transformation EMEA 2019
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
1 Kommentar zu Google macht Sicherheitslücke in Microsoft Edge öffentlich
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Die zwei lieben sich doch sehr ?