Google hat Details zu einer Sicherheitslücke im Browser Edge veröffentlicht, da Microsoft das Loch nicht innerhalb der gesetzten Frist von 90 Tagen geschlossen hat. Entdeckt wurde die Anfälligkeit von Mitarbeitern von Googles Project Zero. Sie erlaubt es, eine wichtige Sicherheitsfunktion von Edge zu umgehen.
Allerdings muss der Browser eine Ausnahme machen: Just-in-Time-Compiler (JIT) moderner Browser wandeln JavaScript in nativen Code um, wovon Teile unsigniert sein können und in einem eigenen Prozess ausgeführt werden. Damit JIT-Compiler bei aktiviertem ACG funktionieren, gibt Microsoft dem JIT-Compiler von Edge einen separaten Prozess und führt diesen in einer eigenen isolierten Sandbox aus.
„Der JIT-Prozess ist für die Kompilierung von JavaScript zu nativen Code und die Zuordnung zum zugehörigen Inhaltsprozess verantwortlich“, erläutert Microsoft die Funktion. „Auf diese Art ist es dem Inhaltsprozess selbst niemals erlaubt, seine eigene JIT-Code-Seite direkt zuzuordnen oder zu verändern.“
Der von Google-Forschern entdeckte Fehler entsteht, wenn der JIT-Prozess ausführbare Daten in den Inhaltsprozess schreibt. Demnach ist ein kompromittierter Inhaltsprozess in der Lage, die Speicheradresse eines JIT-Prozesses vorherzusagen. Das wiederum soll es dem Inhaltsprozess erlauben, „eine schreibbare Speicherregion“ an der Adresse zu nutzen, auf die der JIT-Server zugreifen wird, um ihm ausführbaren Code unterzuschieben.
Die Anfälligkeit wird als mittelschwer eingestuft. Microsoft weiß seit Mitte November von dem Problem. Es teilte Google kurz vor seinem Februar-Patchday mit, die Entwicklung eines Fixes sei „komplizierter als anfänglich gedacht“. Deswegen sei es nicht möglich, den Termin am 13. Februar einzuhalten. „Das Team ist optimistisch, dass der Fix rechtzeitig für den 13. März bereit ist, allerdings liegt dieser Termin außerhalb der 90-Tage-Frist und einer 14-tägigen Nachfrist zur Angleichung an den Patch-Dienstag.“ Daraufhin veröffentlichte Google den Bug am 15. Februar, zwei Tage nach Microsofts Februar-Patchday.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
