Das Team von Project Zero des Internetriesen
Google hat eine Schwachstelle im Edge Browser von
Microsoft gefunden und nun Details dazu
veröffentlicht, weil Microsoft es seinerseits versäumt hat, die Zero-Day-Lücke innert 90 Tagen zu schliessen.
Das Leck erlaubt es Angreifern, eine Sicherheitsfunktion des Edge Browsers zu umgehen. Davon betroffen ist laut "
Zdnet.de" der Arbitrary Code Guard (ACG), ein Sicherheits-Feature, das Microsoft mit dem Creators Update in Windows 10 integriert hatte und dazu dienen soll zu verhindern, dass unsignierter Code in den Speicher geladen werden kann. Wie Googles Mitarbeiter nun herausgefunden haben, entsteht die Lücke beim Kompilieren von Javascript zu nativem Code durch den JIT-Compiler. Teile des Codes können auch unsigniert sein, weshalb der JIT-Compiler des Edge Browsers diesen in einem eigenen Prozess kompiliert, wobei jedoch kompromittierter Code in der Lage ist, die Speicheradresse des Prozesses zu eruieren und so über Umwege in den Speicher zu gelangen.
Microsoft weiss offenbar seit Mitte November von der Lücke und arbeitet an einem Patch. Dennoch hat Google nach dem Verstreichen der Frist die Einzelheiten der Lücke veröffentlicht.
(luc)