Zero-Day-Lücke in Edge Browser entdeckt und veröffentlicht
Quelle: SITM

Zero-Day-Lücke in Edge Browser entdeckt und veröffentlicht

Google hat eine Zero-Day-Lücke in Microsofts Edge Browser entdeckt und nun öffentlich gemacht, weil Microsoft es versäumt hat, die Lücke innert einer Frist von 90 Tagen zu schliessen.
19. Februar 2018

     

Das Team von Project Zero des Internetriesen Google hat eine Schwachstelle im Edge Browser von Microsoft gefunden und nun Details dazu veröffentlicht, weil Microsoft es seinerseits versäumt hat, die Zero-Day-Lücke innert 90 Tagen zu schliessen.

Das Leck erlaubt es Angreifern, eine Sicherheitsfunktion des Edge Browsers zu umgehen. Davon betroffen ist laut "Zdnet.de" der Arbitrary Code Guard (ACG), ein Sicherheits-Feature, das Microsoft mit dem Creators Update in Windows 10 integriert hatte und dazu dienen soll zu verhindern, dass unsignierter Code in den Speicher geladen werden kann. Wie Googles Mitarbeiter nun herausgefunden haben, entsteht die Lücke beim Kompilieren von Javascript zu nativem Code durch den JIT-Compiler. Teile des Codes können auch unsigniert sein, weshalb der JIT-Compiler des Edge Browsers diesen in einem eigenen Prozess kompiliert, wobei jedoch kompromittierter Code in der Lage ist, die Speicheradresse des Prozesses zu eruieren und so über Umwege in den Speicher zu gelangen.


Microsoft weiss offenbar seit Mitte November von der Lücke und arbeitet an einem Patch. Dennoch hat Google nach dem Verstreichen der Frist die Einzelheiten der Lücke veröffentlicht. (luc)


Weitere Artikel zum Thema

Google Chrome blockt bald 100'000 SSL-Zertifikate

8. Februar 2018 - Google entzieht zehn Prozent der wichtigsten Domains das Vertrauen, sofern sie ihre abgelaufenen SSL-Zertifikate nicht erneuern. Das Unternehmen will damit den Zertifikatsaussteller Symantec abstrafen, der tausendfach unberechtigterweise Zertifikate ausgestellt haben soll.

Edge soll schneller, sparsamer und sicherer sein als Chrome

4. Januar 2018 - Microsoft zufolge ist der Browser Edge bis zu 48 Prozent schneller als Chrome und blockiert 18 Prozent mehr Phishing-Seiten. Ausserdem soll die Nutzung von Edge statt Chrome die Akkulaufzeit von tragbaren Geräten erhöhen.

Microsoft-Patches für IE und Edge

13. Dezember 2017 - Mit dem Dezember-Update eliminiert Microsoft insgesamt 32 Schwachstellen, wovon 20 als kritisch eingestuft werden. Der Grossteil der Lecks findet sich in den Browsern Internet Explorer und Edge.

Finaler Edge-Browser für iOS und Android lanciert

1. Dezember 2017 - Microsoft hat die Beta-Phase abgeschlossen und den Edge-Browser in der finalen Version veröffentlicht. Als Highlight gilt die Geräte-übergreifende Nutzung von Browser-Daten.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER