Google scova e rivela falla in Microsoft Edge

Google scova e rivela falla in Microsoft Edge

L'azienda di Mountain View l'ha comunicata privatamente a Microsoft lo scorso novembre. La società di Redmond la risolverà con il Patch Tuesday di marzo

di pubblicata il , alle 17:41 nel canale Sicurezza
Microsoft
 

Google ha recentemente rivelato una falla abbastanza importante del browser web Microsoft Edge, nel contesto del programma di sicurezza Project Zero che ha l'impegno di individuare vulnerabilità 0-day all'interno dei prodotti software della società di Mountain View così come in quelli di altre aziende del panorama IT. Nel 2016 e nel 2017 erano state rivelate, proprio tramite Project Zero, due importanti vulnerabilità a carico del sistema operativo Windows 10.

A febbraio dello scorso anno Microsoft ha dichiarato di voler usare Arbitrary Code Guard in Microsoft Edge con l'aggiornamento Windows 10 Creators Update, allo scopo di mitigare le possibilità di esecuzione di codice arbitrario. Per fare ciò Microsoft è stata costretta a spostare, non senza qualche difficoltà, le funzionalità di compilazione JIT (just in time) dell'engine JavaScript Chakra in un processo separato eseguito in una sandbox isolata.

Il processo JIT che usa Microsoft ha il compito di compilare JavaScript in codice nativo, con la creazione di uno shared map object che viene mappato al content process e riservando una prozione di memoria. Quando le pagine devono essere scritte in memoria, JIT effettua una chiamata alla funzione VirtualAllocEx() per allocare la memoria dallo spazio riservato precedentemente.

Se il content process viene compromesso ed è in grado di prevedere l'indirizzo dove il processo JIT va a chiamare la funzione VirtualAllocEx() - e secondo i ricercatori Project Zero si tratta di una cosa piuttosto facile da fare - si apre uno scenario in cui usando la funzione UnmapViewOfFile() si può rimuovere la mappatura della memoria condivisa, allocare una regione di memoria scrivibile sullo stesso indirizzo su cui il JIT sta per scrivere e scrivere in questa regione un payload di prossima esecuzione. Nel momento il cui il processo JIT chiama la funzione VirtualAllocEx(), anche se la memoria è già allocata, la chiamata ha successo e la protezione di memoria muta su PAGE_EXECUTE_READ. In questo modo i ricercatori di Google Project Zero sono stati in grado di scavalcare il controllo Arbitrary Code Guard e creare una pagina eseguibile in memoria.

La gravità di questa vulnerabilità è considerata di livello medio ed è stata comunicata a Microsoft nel mese di novembre 2017. Google ha riconosciuto a Microsoft periodo di 90 giorni per risolvere il problema, e ha concesso un'estensione di 14 giorni sulla scadenza poiché la risoluzione del problema è risultata essere più complicata del previsto. Google ha reso pubblica la falla perché Microsoft non è riuscita a rispettare neanche questa deadline e non ha potuto inserire la patch correttiva all'interno degli aggiornamenti del Patch Tuesday di febbraio, promettendo comunque di non mancare l'appuntamento con il Patch Tuesday del prossimo mese in programma per il 13 marzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

56 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Phoenix Fire20 Febbraio 2018, 18:09 #1
mah, non sono sicuro della correttezza dell'atteggiamento di google, ok che dai 90 giorni, ok l'estensione, ma se ti dicono che la pubblicano a marzo, potevi estendere altri 15 giorni in modo da non rendere nota una vulnerabilità 15 giorni prima del patching
Averell20 Febbraio 2018, 18:28 #2
la tua è la versione gentile della riflessione mentre la mia suonava + o - cosi',
con che coraggio si mettono in chiaro vulnerabilità di questa natura prima che [...], per agevolare gruppi criminali che sanno come utilizzare le informazioni fornite mettendole a reddito?

[SIZE="1"](da →)[/SIZE]

MSRC che ieri, peraltro, ha precisato di non essere certa neppure del Marzo,
MSRC reached out to me to to clarify that, because of the complexity of the fix, they do not yet have a fixed date set as of yet.


Quindi grazie davvero (Google) per adottare un modello etico responsabile, i consumatori MS te ne saranno grati (spero anzi che i loro trucchi siano usati contro i loro sistemi)
Averell20 Febbraio 2018, 18:33 #3
ah, e per la redazione:
svegliatevi, avete fatto l'articolo con 3 giorni di ritardo (cioè oggi) e durante il copia/incolla non avete riportato neppure l'osservazione di cui sopra sullo slittamento causa complessità del fix!
emiliano8420 Febbraio 2018, 18:36 #4
Originariamente inviato da: Phoenix Fire
mah, non sono sicuro della correttezza dell'atteggiamento di google, ok che dai 90 giorni, ok l'estensione, ma se ti dicono che la pubblicano a marzo, potevi estendere altri 15 giorni in modo da non rendere nota una vulnerabilità 15 giorni prima del patching


non e' la prima volta che succede... poi invece quando fa' comodo a loro i 90 giorni come per magia vengono incrementati
The FoX20 Febbraio 2018, 18:38 #5

Ma siete seri?

Ve la prendete con Google perché ha reso pubblica una falla dopo ben 90 giorni quando con tutta probabilità c'è gente che la conosceva anche prima di BigG?
Piuttosto prendetevela con MS che in 3 mesi non è stata capace, nonostante le sue risorse, di chiuderla.
PS: vi ricordo che Skype è strabucato ma MS ha detto chiaro che al momento non rilascerà nessuna patch visto che le toccherebbe riscrivere tutto il codice...
Eress20 Febbraio 2018, 18:40 #6
Piuttosto che prendersela con Google, ci sarebbe da capire tutte queste falle oceaniche dei prodotti MS a chi siano imputabili e soprattutto la loro filosofia di azione in caso di falle, leggere la mia firma please Sarà mica colpa di Google alla fine
Averell20 Febbraio 2018, 18:41 #7
Originariamente inviato da: The FoX
Ve la prendete con Google..

per forza finisce in caciara, guarda il commento sopra (malafede, poi? Ci mettiamo altro nel calderone?)

PS: è arrivato lo scienziato! (riferito ad un altro..)
canislupus20 Febbraio 2018, 18:43 #8
Quindi fatemi capire... scopro un bug e lo dovrei tenere nascosto quanto tempo?
E se MS (ma chiunque altro) ci mettesse 10 anni? Dovrei evitare di divulgarlo con il rischio che altri lo possano evidenziare e magari farne un uso anche illecito?
Non è nascondendo i problemi sotto la sabbia che questi si risolveranno magicamente da soli.
Quello che è successo con Sprectre/Meltdown dovrebbe far capire come sia FONDAMENTALE a volte arrivare anche a queste forme di "ricatto" per incentivare le società a darsi da fare.
Lo sviluppo ha un costo e qualsiasi società pur di evitarsi una seccatura preferirebbe lasciare tutto un colabrodo finchè qualcuno con buone (o cattive) intenzioni si decida a diffondere il problema.
Averell20 Febbraio 2018, 18:45 #9
va bene saluti


Tanto siete su XP e 7, questa vulnerabilità a voi non tocca dai
robbybby20 Febbraio 2018, 18:46 #10
@TheFox: in realtà Microsoft non ha detto che non intedne correggere i bug di Skype perché occorrerebbe riscrivere tutto il codice: è stata fraintesa dallo scopritore del bug.
Microsoft ha detto che "sarebbe stato necessario un riesame approfondito del software".
Comunque, la vulnerabilità è presente in Skype per Windows solo fino alla versione 7.40. Nella versione 8, rilasciata a ottobre scorso, la falla non c’è più, come ha spiegato Microsoft.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^