image

Google maakt ongepatchte kwetsbaarheid in Edge openbaar

vrijdag 16 februari 2018, 16:34 door Redactie, 11 reacties
Laatst bijgewerkt: 16-02-2018, 17:14

Google heeft details openbaar gemaakt van een kwetsbaarheid in Microsoft Edge, ook al is een update van Microsoft nog niet voorhanden. Via de kwetsbaarheid is het mogelijk om een beveiligingsmaatregel van de browser te omzeilen. Het gaat om Arbitrary Code Guard (ACG), een maatregel die moet voorkomen dat een aanvaller kwaadaardige code in het geheugen kan laden.

Door ACG en een andere beveiligingsmaatregel genaamd Code Integrity Guard kan een proces alleen gesigneerde code in het geheugen laden. Dit zorgt echter voor een probleem met Just-in-Time (JIT) compilers die JavaScript-code naar 'native code' omzetten. Daarbij wordt er namelijk ook ongesigneerde code gegenereerd. Om dit toch te laten werken heeft Microsoft de JIT-functionaliteit naar een apart proces verplaatst dat in een eigen geïsoleerde sandbox draait.

Het JIT-proces is verantwoordelijk voor het compileren van JavaScript naar native code en het plaatsen hiervan in het contentproces dat hierom vraagt. Op deze manier kan het contentproces nooit zelf direct zijn eigen JIT-codepagina's laden of aanpassen. Google ontdekte een manier waarbij het JIT-proces uitvoerbare data naar het contenproces kan schrijven. De impact van de kwetsbaarheid is beoordeeld als "medium".

Google waarschuwde Microsoft op 17 november. De softwaregigant liet weten dat het een veel complexer probleem is om te verhelpen dan in eerste instantie werd gedacht. Daardoor zou de update niet klaar zijn voor de patchdinsdag van februari. Microsoft zegt dat het probleem met de patchdinsdag van maart zeker wordt verholpen. Google geeft organisaties 90 dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen. Een deadline die nog met twee weken kan worden uitgebreid. Aangezien Microsoft niet aan dit tijdsvenster heeft voldaan zijn de details nu openbaar gemaakt.

Reacties (11)
16-02-2018, 21:15 door Legionnaire
Is hier al niet eens eerder wat over gegeschreven en uitgelegd?

Beetje bij beetje, laat men wat los over de oorzaak, omvang en eventueel gevolg van het totale probleem...
16-02-2018, 21:18 door -karma4 - Bijgewerkt: 16-02-2018, 21:18
Ze hadden wéér eens niet genoeg aan 90 dagen bij Microsoft...
17-02-2018, 09:15 door Anoniem
Niet netjes van Google
17-02-2018, 09:43 door karma4
Door The FOSS: Ze hadden wéér eens niet genoeg aan 90 dagen bij Microsoft...
Ach bij open source doen ze er jaren over om voordat ze de fouten zien en dan nog eens jaren voordat er wat gebeurd.

Gewoonlijk houden ethische onderzoekers hun mond en zijn cooperatief om het op te lossen.
Google heeft een andere doel, Totale macht en controle, ik snap niet dat de valse opens source profeten niet door de opens source gemeenschap aangepakt worden. https://www.ftm.nl/artikelen/een-spelletje-monopoly-met-onze-privacy
17-02-2018, 11:29 door CykoByte_t - Bijgewerkt: 17-02-2018, 11:29
In principe als ik het zo lees, is er dus mogelijkheid om ongeverifieerde code uit te voeren binnen de context van een sandboxed contentproces. Er is dus een tweede exploit nodig om uit de sandbox te breken en het systeem nadelig te beïnvloeden. Dat zal waarschijnlijk ook de reden zijn voor de "Medium" flag.
17-02-2018, 15:41 door -karma4
Door karma4:
Door The FOSS: Ze hadden wéér eens niet genoeg aan 90 dagen bij Microsoft...
Ach bij open source doen ze er jaren over om voordat ze de fouten zien en dan nog eens jaren voordat er wat gebeurd.

Nee. Onwaar.
17-02-2018, 17:55 door Anoniem
Door Anoniem: Niet netjes van Google

Google moet vooral zo door blijven gaan. Tenminste 1 tech bedrijf die actief bugs zoekt bij andere.
18-02-2018, 20:12 door Anoniem
Door The FOSS: Ze hadden wéér eens niet genoeg aan 90 dagen bij Microsoft...

En inderdaad WEER totaal onverantwoordelijk en kinderachtig gedrag. Niet van Google, maar van de kleuter Tavis, die zo graag wil laten zien hoe geweldig hij is, ongeacht de gevolgen. Woont vast nog bij zijn moeder.

En die 90 is totaal arbitrair, en ja, er zijn dingen die heel lastig te fixen zijn. Normale partijen overleggen daar netjes over en offeren de veiligheid van eindgebruikers niet op voor wat sneue 'roem'.

Ook in dit geval is er overleg geweest, de fix komt er aan, maar Tavis heeft kennelijk onbedwingbare pijn aan zijn aandacht.

Zucht.
20-02-2018, 09:54 door -karma4
Door Anoniem:
Door The FOSS: Ze hadden wéér eens niet genoeg aan 90 dagen bij Microsoft...

En inderdaad WEER totaal onverantwoordelijk en kinderachtig gedrag. Niet van Google, maar van de kleuter Tavis, die zo graag wil laten zien hoe geweldig hij is, ongeacht de gevolgen. Woont vast nog bij zijn moeder.

En die 90 is totaal arbitrair, en ja, er zijn dingen die heel lastig te fixen zijn. Normale partijen overleggen daar netjes over en offeren de veiligheid van eindgebruikers niet op voor wat sneue 'roem'.

Ook in dit geval is er overleg geweest, de fix komt er aan, maar Tavis heeft kennelijk onbedwingbare pijn aan zijn aandacht.

Zucht.

Wel ja, de shoot the messenger benadering bij falen van normale argumenten. Microsoft had natuurlijk gewoon moeten zorgen dat (a) dit probleem niet was ontstaan (b) dat het zsm werd opgelost. Maar dat kost geld en tijd.
21-02-2018, 12:00 door Anoniem
Door The FOSS:
Wel ja, de shoot the messenger benadering bij falen van normale argumenten. Microsoft had natuurlijk gewoon moeten zorgen dat (a) dit probleem niet was ontstaan (b) dat het zsm werd opgelost. Maar dat kost geld en tijd.

...nee... het zoeken en melden van kwetsbaarheden is prima, dat moet Tavis vooral blijven doen.
Wat kinderachtig en onverantwoordelijk is, is puur en alleen voor eigen 'eer' kwetsbaarheden publiek maken voor er een fix is.
Daarbij verwijzen naar een volstrekt arbitrair gekozen deadline is heel flauw. Alsof elke fix even simpel te maken en testen is.
De afweging die ze zouden moeten maken ( en die andere exploit finders wel maken ) is wat de mogelijke gevolgen van publicatie zijn.

Je kan ook simpel de vraag stellen: wie is er gebaat bij het *voortijdig* publiceren van een kwetsbaarheid?
Tavis/ProjectZero kiest voor 'roem' (of domweg autistisch gedrag) en helpt daarmee hackers.
27-02-2018, 01:46 door Legionnaire
Door The FOSS:
Door Anoniem:
Door The FOSS: Ze hadden wéér eens niet genoeg aan 90 dagen bij Microsoft...

En inderdaad WEER totaal onverantwoordelijk en kinderachtig gedrag. Niet van Google, maar van de kleuter Tavis, die zo graag wil laten zien hoe geweldig hij is, ongeacht de gevolgen. Woont vast nog bij zijn moeder.

En die 90 is totaal arbitrair, en ja, er zijn dingen die heel lastig te fixen zijn. Normale partijen overleggen daar netjes over en offeren de veiligheid van eindgebruikers niet op voor wat sneue 'roem'.

Ook in dit geval is er overleg geweest, de fix komt er aan, maar Tavis heeft kennelijk onbedwingbare pijn aan zijn aandacht.

Zucht.

Wel ja, de shoot the messenger benadering bij falen van normale argumenten. Microsoft had natuurlijk gewoon moeten zorgen dat (a) dit probleem niet was ontstaan (b) dat het zsm werd opgelost. Maar dat kost geld en tijd.

Just shoot the messenger!

Google heeft het alleen maar over de lekken die zij hebben gevonden, maar vertelt er niet bij de werkelijke oorzaak.

Werkelijke oorzaak:

Na een benchmarks test is gebleken dat Edge veel beter presteerd en veiliger is, dan Google Chrome, Safari en Firefox.

Google en Apple kwamen erachter, dat zij dit nooit zouden kunnen evenaren en hebben Microsoft gevraagd een versie van Edge voor hun OS uit te brengen.

Microsoft heeft eind 2017 Edge voor IOS en Andriod uitgebracht, maar niet met de EdgeHTML layout engine, gezien deze te 'zwaar' is voor IOS en Android.

In overleg heeft Microsoft een 'lichtere' versie van Edge geschreven.

Voor IOS met Webkit en voor Android met de Blink engine.

Zelfs deze 'nep' versie van Edge verslaat Google Chrome op alle fronten en dat met de engine waar Chrome ook op draaid.

IOS past nu hun OS aan om de volledige EdgeHTML engine te kunnen ondersteunen, maar Google/Android wil het niet en kan het niet.

Want Google zal dan hun 'webbrowser' machtspositie verliezen, maar het grootste probleem is dat Android OS compleet herschreven moet worden en daar hebben ze de mankracht, tijd en de financien niet voor.

Dus uit frustratie en steeds meer marktaandeel verliezen, een grote 'bek' hebben tegen de 'Softwaregigant' en dan ook nog een tijdslimiet opeisen...Koekoek.

Geen slimme actie van de 'Softwarekleuter' Google om hiermee naar buiten te komen, want elke fabrikant weet dat je absoluut geen gevecht met Microsoft aan moet gaan...Apple weet er alles van en meerdere.

Of Microsoft pakt je hard aan of draaid je volledig de nek om...

Als Softwarefabrikant zijn ze niet voor niets zich gaan bemoeien op de hardware markt...De concurrentie laten zien dat het beter en goedkoper kan i.p.v. je vaste klanten naaien...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.