Google рассказала об уязвимости в браузере Microsoft Edge до выхода патча

Компания предупредила разработчиков заранее, но исправления так и не подготовили.

В ноябре 2017 года специалисты Google обнаружили уязвимость в браузере Microsoft Edge, который встроен в систему Windows 10 по умолчанию. Исследователи дали компании 90 дней на исправления ошибки, так как её отнесли к «среднему» уровню угрозы. После этого детали уязвимости пообещали опубликовать в открытом доступе. Об этом сообщает сайт Neowin.

Разработчики не успели подготовить патч вовремя и попросили дать им больше времени. Тогда в Google добавили к трём месяцам ещё две недели, но специалисты Microsoft заявили, что «патч оказался более сложным, чем они думали». Инженер Google отметил, что точная дата исправления этой ошибки до сих пор неизвестна.

Уязвимость в Edge связана с использованием памяти ядра. В феврале 2017 года Microsoft объявила, что будет использовать систему Arbitrary Code Guard (ACG) в браузере. Она изолирует в отдельный процесс компиляторы Just-in-Time (JIT), отвечающие в том числе за обработку JavaScript.

Технически, эта мера была направлена на то, чтобы обезопасить пользователей, но оказалось, что связь между изолированным JIT и основным исполняемым кодом браузера можно скомпрометировать. Уязвимость позволяет создать в памяти исполняемую страницу.

Далее...


Последние посты

Авторы