Edge mit Problem im Exploit-Schutz: Google veröffentlicht Schwachstelle

Microsoft, Windows 10, Browser, Edge, Creators Update, Microsoft Edge Bildquelle: Microsoft
Microsoft Webbrowser Edge beherbergt eine als mittel eingestufte Sicher­heits­lücke im Just In Time Compiler (JIT Compiler) für Javascript. Nachdem der Konzern auch nach 105 Tagen nach Bekanntwerden der Lücke das Problem nicht beheben konnte, hat Google die Schwachstelle jetzt veröffentlicht. Bereits im November 2017 hatten Sicherheitsforscher von Googles Project Zero die Schwach­stelle im JIT Compiler in Edge aufgespürt und an Microsoft gemeldet. Eigentlich haben sich die Unternehmen für solche Fälle eine 90-Tage-Frist gesichert, bis die Entdecker solcher sicherheitsrelevanten Probleme die Schwachstellen öffentlich machen. Google hatte in diesem Fall Microsoft sogar 105 Tage zugestanden, was mit dem Update-Zyklus von Edge zusammenhängt - doch auch diese längere Frist verstrich.


Exploitschutz wird umgangen

Das Project Zero-Team hat nun die Details des noch offenen Bypasses für eine Exploitschutz-Technik veröffentlicht. Es ist dabei ein Zusammenspiel aus der ab dem Windows 10 Creators Update genutzen Arbitrary Code Guard (ACG)-Technik, die Schutz vor Angriffen aus dem Internet bieten soll. Wird versucht bösartigen Code in den Speicher zu laden, schaltet sich der ACG ein. Diese Verteidigung soll sicherstellen, dass nur korrekt signierter Code in den Speicher gemappt werden kann. Ein Problem gibt es aber im Zusammen­spiel mit dem Just-in-Time (JIT) Compiler, der im Regelfall nativen Code, zum Teil unsigniert, in einem Content-Prozess ablaufen lässt.

Ausführbare Daten

Die Sicherheitslücke umgeht diese Fähigkeit aber, denn wie Googles Project Zero heraus­fand, entsteht das Problem dadurch, dass der JIT-Prozess ausführbare Daten in den Content-Prozess schreibt.

Um sicherzustellen, dass JIT-Compiler mit aktiviertem ACG arbeiten, hat Microsoft die JIT-Kompilierung von Edge in einen separaten Prozess integriert, der in einer eigenen Sand­box ausgeführt wird. Laut Microsoft war dieser Schritt "eine nicht-triviale Ingenieurs­auf­gabe", was nun der Hauptgrund ist, warum die Sicher­heits­lücke nicht so schnell behoben werden kann.

Es gibt dazu auch eine offizielle Stellungnahme von Microsoft. Darin heißt es unter anderem, dass der Fix komplexer sei als zunächst gedacht und es sehr wahrscheinlich ist, dass ein Release-Termin im Februar aufgrund der Speicherverwaltungsprobleme nicht eingehalten werden kann. "Das Team ist zuversichtlich, dass man am 13. März fertig sein wird, allerdings ist dies jenseits des 90-Tage-SLA und der 14-Tage-Frist, um sich an die monatlichen Updates anzupassen". Gemeint ist damit natürlich der Patch-Day, welcher jeweils am zweiten Dienstag jeden Monats geplant ist.

Siehe auch:
Microsoft, Windows 10, Browser, Edge, Creators Update, Microsoft Edge Microsoft, Windows 10, Browser, Edge, Creators Update, Microsoft Edge Microsoft
Diese Nachricht empfehlen
Kommentieren42
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 19:35 Uhr Smartwatch, CoolFoxx DZ09 Bluetooth 4,0 Mutifunktionale Armbanduhr, unterstützt Sim & TF-Karte, mit Kamera Schrittzähler Anti-Lost Tracker Stoppuhr Nachricht Kalender für Android SmartphonesSmartwatch, CoolFoxx DZ09 Bluetooth 4,0 Mutifunktionale Armbanduhr, unterstützt Sim & TF-Karte, mit Kamera Schrittzähler Anti-Lost Tracker Stoppuhr Nachricht Kalender für Android Smartphones
Original Amazon-Preis
16,98
Im Preisvergleich ab
?
Blitzangebot-Preis
13,58
Ersparnis zu Amazon 20% oder 3,40

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden