Google, Microsoft'un Edge web tarayıcısındaki oldukça ciddi bir kusurla ilgili ayrıntıları açıkladı, ancak Microsoft sorunu Mart ayının ortasına kadar çözemeyecek.
Bu kusur, saldırganların, kötü amaçlı JavaScript'in bir web sayfasında yürütülmesini engelleyen Arbitrary Code Guard (ACG) adlı bir Edge güvenlik özelliğini atlamasını sağlar. Google'ın Project Zero ekibinden hata bulucular, 17 Kasım'daki kusuru buldu ve Microsoft'a, Google'ın kusuru ifşa etmeden önce düzeltmesi için standart 90 gün verdi.
Ancak son teslim gününde, 15 Şubat'ta Microsoft, Project Zero'ya, Project Zero'nun görünüşte teklif ettiği iki haftalık bir uzatmayla bile, son teslim tarihine yetişemeyeceğini söyledi. Bu nedenle Google, düzeltmesi 13 Mart'ta Microsoft'un bir sonraki Yama Salı günü planlanan güncellemeleriyle birlikte gelecek olan kusurla ilgili fasulyeleri döktü.
Edge kullanıcıları, o zamana kadar Microsoft'un amiral gemisi tarayıcısını kullanmaktan kaçınmak isteyebilir.
DAHA: Edge ve Chrome vs. Firefox: Windows 10 Tarayıcıların Savaşı
Buradaki gümüş astar, Google Project Zero araştırmacısı Ivan Fratric'in orijinal blog gönderisine yaptığı bir yorumda yazdığı gibi, bu kusur "kendi başına kullanılamaz".
Başka birinin Edge tarayıcısına saldırmak için Birinci Adım, tarayıcılarındaki başka bir işleme bulaşmak veya başka bir şekilde tehlikeye atmak olacaktır. Ancak bundan sonra İkinci Adıma geçebileceksiniz: Bu yeni kusuru, Edge'in çalışan belleğinde tam olarak doğru noktada kötü amaçlı kodu değiştirmek için kullanırsınız, böylece kod, Edge'in ACG işleminin çalıştırmak üzere olduğu iyi huylu kodun yerini alır.
Fratric, "Saldırganın, Edge içerik sürecinde bazı yetenekler (rasgele bellek konumlarını okuma ve yazma yeteneği gibi) kazanmak için önce ayrı bir güvenlik açığından yararlanması gerekir," diye yazdı Fratric, "daha sonra bu güvenlik açığını ek yetenekler elde etmek için kullanabilirler. (yani, keyfi makine kodu çalıştırma yeteneği)."
Kötü haber şu ki, Birinci Adım muhtemelen yetenekli bilgisayar korsanlarının ve uygun şekilde hazırlanmış kötü amaçlı yazılımların erişiminde. Fratric'in şimdi herkesin görebileceği orijinal blog yazısı, size tam olarak İkinci Adıma nasıl geçeceğinizi gösteriyor. Kötü adamların, 13 Mart'ta düzeltme hazır olmadan önce Fratric'in kavram kanıtı istismarını uygulamak için çalıştıklarına bahse girebilirsiniz.
Fratric'in 27 Nisan'da Miami Beach'teki Infiltrate güvenlik konferansında tüm bunların nasıl çalıştığı hakkında daha fazla açıklama yapması planlanıyor.
Resim kredisi: T.Dallas/Shutterstock
- Microsoft Edge'de Gizliliğinizi Nasıl Artırırsınız?
- Meltdown ve Spectre: PC'nizi, Mac'inizi ve Telefonunuzu Nasıl Korursunuz?
- En İyi Windows 10 Temaları (Ve Nasıl İndirilir)