Edge mit Problem im Exploit-Schutz:
Google veröffentlicht Schwachstelle

Microsoft Webbrowser Edge beherbergt eine als mittel eingestufte Sicher­heits­lücke im Just In Time Compiler (JIT Compiler) für Javascript. Nachdem der Konzern auch nach 105 Tagen nach Bekanntwerden der Lücke das Problem nicht beheben konnte, hat Google die Schwachstelle jetzt veröffentlicht. Bereits im November 2017 hatten Sicherheitsforscher von Googles Project Zero die Schwach­stelle im JIT Compiler in Edge aufgespürt und an Microsoft gemeldet. Eigentlich haben sich die Unternehmen für solche Fälle eine 90-Tage-Frist gesichert, bis die Entdecker solcher sicherheitsrelevanten Probleme die Schwachstellen öffentlich machen. Google hatte in diesem Fall Microsoft sogar 105 Tage zugestanden, was mit dem Update-Zyklus von Edge zusammenhängt - doch auch diese längere Frist verstrich.

Exploitschutz wird umgangen

Das Project Zero-Team hat nun die Details des noch offenen Bypasses für eine Exploitschutz-Technik veröffentlicht. Es ist dabei ein Zusammenspiel aus der ab dem Windows 10 Creators Update genutzen Arbitrary Code Guard (ACG)-Technik, die Schutz vor Angriffen aus dem Internet bieten soll. Wird versucht bösartigen Code in den Speicher zu laden, schaltet sich der ACG ein. Diese Verteidigung soll sicherstellen, dass nur korrekt signierter Code in den Speicher gemappt werden kann. Ein Problem gibt es aber im Zusammen­spiel mit dem Just-in-Time (JIT) Compiler, der im Regelfall nativen Code, zum Teil unsigniert, in einem Content-Prozess ablaufen lässt.

Ausführbare Daten

Die Sicherheitslücke umgeht diese Fähigkeit aber, denn wie Googles Project Zero heraus­fand, entsteht das Problem dadurch, dass der JIT-Prozess ausführbare Daten in den Content-Prozess schreibt.

Um sicherzustellen, dass JIT-Compiler mit aktiviertem ACG arbeiten, hat Microsoft die JIT-Kompilierung von Edge in einen separaten Prozess integriert, der in einer eigenen Sand­box ausgeführt wird. Laut Microsoft war dieser Schritt "eine nicht-triviale Ingenieurs­auf­gabe", was nun der Hauptgrund ist, warum die Sicher­heits­lücke nicht so schnell behoben werden kann.

Es gibt dazu auch eine offizielle Stellungnahme von Microsoft. Darin heißt es unter anderem, dass der Fix komplexer sei als zunächst gedacht und es sehr wahrscheinlich ist, dass ein Release-Termin im Februar aufgrund der Speicherverwaltungsprobleme nicht eingehalten werden kann. "Das Team ist zuversichtlich, dass man am 13. März fertig sein wird, allerdings ist dies jenseits des 90-Tage-SLA und der 14-Tage-Frist, um sich an die monatlichen Updates anzupassen". Gemeint ist damit natürlich der Patch-Day, welcher jeweils am zweiten Dienstag jeden Monats geplant ist.

Siehe auch: