Google ha rivelato dettagli su un difetto piuttosto grave nel browser Web Edge di Microsoft, ma Microsoft non sarà in grado di risolvere il problema fino alla metà di marzo.
Il difetto consente agli aggressori di aggirare una funzione di sicurezza Edge chiamata Arbitrary Code Guard (ACG) che impedisce l'esecuzione di JavaScript dannoso su una pagina web. I bug finder del team Project Zero di Google hanno trovato il difetto il 17 novembre e hanno dato a Microsoft i 90 giorni standard per risolverlo prima che Google rivelasse il difetto.
Ma il giorno della scadenza, il 15 febbraio, Microsoft ha detto a Project Zero che non sarebbe stata in grado di rispettare la scadenza, anche con un'estensione di due settimane che Project Zero aveva apparentemente offerto. Quindi Google ha parlato del difetto, la cui correzione arriverà il 13 marzo con il prossimo round di aggiornamenti programmati del Patch Tuesday di Microsoft.
Gli utenti Edge potrebbero voler astenersi dall'utilizzare il browser di punta di Microsoft fino ad allora.
ALTRO: Edge vs Chrome vs Firefox: battaglia dei browser Windows 10
Il lato positivo qui è che questo difetto "non può essere sfruttato da solo", come ha scritto il ricercatore di Google Project Zero Ivan Fratric in un commento al suo post originale sul blog.
Per attaccare il browser Edge di qualcun altro, il primo passaggio consiste nell'infettare o compromettere in altro modo un altro processo nel browser. Solo dopo sarai in grado di procedere al passaggio due: utilizzerai questo nuovo difetto per scambiare codice dannoso esattamente nel punto giusto nella memoria di esecuzione di Edge in modo che il codice sostituisca il codice benigno che il processo ACG di Edge stava per eseguire.
"Un utente malintenzionato dovrebbe prima sfruttare una vulnerabilità separata per ottenere alcune funzionalità nel processo del contenuto di Edge (come la capacità di leggere e scrivere posizioni di memoria arbitrarie)", ha scritto Fratric, "dopo di che potrebbe utilizzare questa vulnerabilità per ottenere funzionalità aggiuntive (vale a dire, la capacità di eseguire codice macchina arbitrario)."
La cattiva notizia è che il primo passaggio è probabilmente alla portata di hacker esperti e malware opportunamente predisposti. Il post sul blog originale di Fratric, ora disponibile per tutti, mostra esattamente come procedere al secondo passaggio. Puoi scommettere che i cattivi stanno lavorando per implementare l'exploit proof-of-concept di Fratric prima che la correzione sia pronta il 13 marzo.
Fratric dovrebbe spiegare ancora di più su come funziona tutto questo il 27 aprile alla conferenza sulla sicurezza di Infiltrate a Miami Beach.
Credito immagine: T.Dallas/Shutterstock
- Come aumentare la privacy in Microsoft Edge
- Meltdown e Spectre: come proteggere PC, Mac e telefono
- I migliori temi per Windows 10 (e come scaricarli)