Edge mit Problem im Exploit-Schutz:
Google veröffentlicht Schwachstelle
Edge zusammenhängt - doch auch diese längere Frist verstrich.
Um sicherzustellen, dass JIT-Compiler mit aktiviertem ACG arbeiten, hat Microsoft die JIT-Kompilierung von Edge in einen separaten Prozess integriert, der in einer eigenen Sandbox ausgeführt wird. Laut Microsoft war dieser Schritt "eine nicht-triviale Ingenieursaufgabe", was nun der Hauptgrund ist, warum die Sicherheitslücke nicht so schnell behoben werden kann.
Es gibt dazu auch eine offizielle Stellungnahme von Microsoft. Darin heißt es unter anderem, dass der Fix komplexer sei als zunächst gedacht und es sehr wahrscheinlich ist, dass ein Release-Termin im Februar aufgrund der Speicherverwaltungsprobleme nicht eingehalten werden kann. "Das Team ist zuversichtlich, dass man am 13. März fertig sein wird, allerdings ist dies jenseits des 90-Tage-SLA und der 14-Tage-Frist, um sich an die monatlichen Updates anzupassen". Gemeint ist damit natürlich der Patch-Day, welcher jeweils am zweiten Dienstag jeden Monats geplant ist.
Siehe auch:
Bereits im November 2017 hatten Sicherheitsforscher von Googles Project Zero die Schwachstelle im JIT Compiler in Edge aufgespürt und an Microsoft gemeldet. Eigentlich haben sich die Unternehmen für solche Fälle eine 90-Tage-Frist gesichert, bis die Entdecker solcher sicherheitsrelevanten Probleme die Schwachstellen öffentlich machen. Google hatte in diesem Fall Microsoft sogar 105 Tage zugestanden, was mit dem Update-Zyklus von Exploitschutz wird umgangen
Das Project Zero-Team hat nun die Details des noch offenen Bypasses für eine Exploitschutz-Technik veröffentlicht. Es ist dabei ein Zusammenspiel aus der ab dem Windows 10 Creators Update genutzen Arbitrary Code Guard (ACG)-Technik, die Schutz vor Angriffen aus dem Internet bieten soll. Wird versucht bösartigen Code in den Speicher zu laden, schaltet sich der ACG ein. Diese Verteidigung soll sicherstellen, dass nur korrekt signierter Code in den Speicher gemappt werden kann. Ein Problem gibt es aber im Zusammenspiel mit dem Just-in-Time (JIT) Compiler, der im Regelfall nativen Code, zum Teil unsigniert, in einem Content-Prozess ablaufen lässt.Ausführbare Daten
Die Sicherheitslücke umgeht diese Fähigkeit aber, denn wie Googles Project Zero herausfand, entsteht das Problem dadurch, dass der JIT-Prozess ausführbare Daten in den Content-Prozess schreibt.Um sicherzustellen, dass JIT-Compiler mit aktiviertem ACG arbeiten, hat Microsoft die JIT-Kompilierung von Edge in einen separaten Prozess integriert, der in einer eigenen Sandbox ausgeführt wird. Laut Microsoft war dieser Schritt "eine nicht-triviale Ingenieursaufgabe", was nun der Hauptgrund ist, warum die Sicherheitslücke nicht so schnell behoben werden kann.
Es gibt dazu auch eine offizielle Stellungnahme von Microsoft. Darin heißt es unter anderem, dass der Fix komplexer sei als zunächst gedacht und es sehr wahrscheinlich ist, dass ein Release-Termin im Februar aufgrund der Speicherverwaltungsprobleme nicht eingehalten werden kann. "Das Team ist zuversichtlich, dass man am 13. März fertig sein wird, allerdings ist dies jenseits des 90-Tage-SLA und der 14-Tage-Frist, um sich an die monatlichen Updates anzupassen". Gemeint ist damit natürlich der Patch-Day, welcher jeweils am zweiten Dienstag jeden Monats geplant ist.
Siehe auch:
Thema:
Neue Downloads zum Thema
Neue Microsoft-Edge-Bilder
Videos zum Thema
Beiträge aus dem Forum
Interessante Links & Themenseiten
Beliebte Windows 8 FAQ Einträge
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schild
Original Amazon-Preis
32,99 €
Im Preisvergleich ab
32,99 €
Blitzangebot-Preis
22,43 €
Ersparnis zu Amazon 32% oder 10,56 €
Neue Nachrichten
- Motorola enthüllt neues Flaggschiff: Edge 50 Pro kommt mit ganz viel KI
- Rückstau in den Lagern: Sony stoppt die PSVR2-Produktion
- Neue Angebote: Media Markt und Saturn rufen zum März-Abverkauf
- Nach Displays auch noch iPadOS: Apple verstolpert den iPad Pro-Start
- BitTorrent erstmals nicht mehr größte Quelle für Upload-Traffic
- Microsoft Surface: Saturn verkauft Laptops und 2-in-1s zum Sparpreis
- Steam-Familie: Neue Funktionen zum Teilen von Spielen vorgestellt
Videos
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
WP-development progress :: interface and functionality
el_pelajo - vor 45 Minuten -
Problem mit Microsoft 356 Business & extern gehosteten Exchange Po
MrRobot24 - Heute 10:29 Uhr -
Fritzbox USB Fernanschluss ist irgendwie blockiert?
venom30 - Heute 10:27 Uhr -
WSA Abschaltung
Stefan_der_held - Heute 09:54 Uhr -
Neu: Mozilla Firefox 124.0 freigegeben: die neueste Version steht zum
el_pelajo - Gestern 15:22 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen