Google публично раскрыл данные об уязвимости среднего уровня риска, обнаруженной в браузере Microsoft Edge. Затем детали уязвимости обещали разместить в открытом доступе.

Создатели не успели подготовить патч вовремя и попросили дать им больше времени. Точнее, первопричиной стало то, что разработка данного самого «исправления оказалась не менее трудной, чем считалось изначально». Дата исправления вплоть до этого времени неведома.

Более опасным представляется тот факт, что уязвимость была в открытом доступе, перед ее устранением, что увеличивает риск применения ее злоумышленниками.

В обновлении Windows 10 Creators Update была презентована технология Arbitrary Code Guard (ACG) для защиты от атак, предполагающих загрузку вредоносного кода в память.

Microsoft сделала JIT-компилятор в Edge отдельной процедурой, он был изолирован в «собственной песочнице».

Технически, данная мера была направлена на то, чтобы обезопасить пользователей, однако оказалось, что связь между изолированным JIT и основным исполняемым кодом браузера можно скомпрометировать.

В конце предыдущего года программисты Microsoft ответили тем же, раскрыв информацию об RCE-уязвимости в Chrome, которая разрешала киберпреступникам удаленно исполнять в браузере различный код. JIT дает возможность предвидеть нужный объем используемой памяти.

При всем этом поисковик может рассказать об уязвимости в ПО и ранее — ежели выяснится, что она активно эксплуатируется злоумышленниками.

Кроме того, компания часто делает исключения из собственных правил, особенно если дело касается ее продуктов. Так как с ноября Microsoft так и не закрыл брешь, Google открыл публичный доступ к ее описанию, чтобы предупредить пользователей о вероятной угрозе. Но ошибки затрагивали устройства на андроиде наряду с остальными.

Google объявил об уязвимости Microsoft Edge еще до выхода патча


В записи нет меток.