Google hat Details zu einer Sicherheitslücke im Browser Edge veröffentlicht, da Microsoft das Loch nicht innerhalb der gesetzten Frist von 90 Tagen geschlossen hat. Entdeckt wurde die Anfälligkeit von Mitarbeitern von Googles Project Zero. Sie erlaubt es, eine wichtige Sicherheitsfunktion von Edge zu umgehen.
Allerdings muss der Browser eine Ausnahme machen: Just-in-Time-Compiler (JIT) moderner Browser wandeln JavaScript in nativen Code um, wovon Teile unsigniert sein können und in einem eigenen Prozess ausgeführt werden. Damit JIT-Compiler bei aktiviertem ACG funktionieren, gibt Microsoft dem JIT-Compiler von Edge einen separaten Prozess und führt diesen in einer eigenen isolierten Sandbox aus.
„Der JIT-Prozess ist für die Kompilierung von JavaScript zu nativen Code und die Zuordnung zum zugehörigen Inhaltsprozess verantwortlich“, erläutert Microsoft die Funktion. „Auf diese Art ist es dem Inhaltsprozess selbst niemals erlaubt, seine eigene JIT-Code-Seite direkt zuzuordnen oder zu verändern.“
Der von Google-Forschern entdeckte Fehler entsteht, wenn der JIT-Prozess ausführbare Daten in den Inhaltsprozess schreibt. Demnach ist ein kompromittierter Inhaltsprozess in der Lage, die Speicheradresse eines JIT-Prozesses vorherzusagen. Das wiederum soll es dem Inhaltsprozess erlauben, „eine schreibbare Speicherregion“ an der Adresse zu nutzen, auf die der JIT-Server zugreifen wird, um ihm ausführbaren Code unterzuschieben.
Die Anfälligkeit wird als mittelschwer eingestuft. Microsoft weiß seit Mitte November von dem Problem. Es teilte Google kurz vor seinem Februar-Patchday mit, die Entwicklung eines Fixes sei „komplizierter als anfänglich gedacht“. Deswegen sei es nicht möglich, den Termin am 13. Februar einzuhalten. „Das Team ist optimistisch, dass der Fix rechtzeitig für den 13. März bereit ist, allerdings liegt dieser Termin außerhalb der 90-Tage-Frist und einer 14-tägigen Nachfrist zur Angleichung an den Patch-Dienstag.“ Daraufhin veröffentlichte Google den Bug am 15. Februar, zwei Tage nach Microsofts Februar-Patchday.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…