Google scova e rivela falla in Microsoft Edge
L'azienda di Mountain View l'ha comunicata privatamente a Microsoft lo scorso novembre. La società di Redmond la risolverà con il Patch Tuesday di marzo
di Andrea Bai pubblicata il 20 Febbraio 2018, alle 17:41 nel canale SicurezzaMicrosoft
Google ha recentemente rivelato una falla abbastanza importante del browser web Microsoft Edge, nel contesto del programma di sicurezza Project Zero che ha l'impegno di individuare vulnerabilità 0-day all'interno dei prodotti software della società di Mountain View così come in quelli di altre aziende del panorama IT. Nel 2016 e nel 2017 erano state rivelate, proprio tramite Project Zero, due importanti vulnerabilità a carico del sistema operativo Windows 10.
A febbraio dello scorso anno Microsoft ha dichiarato di voler usare Arbitrary Code Guard in Microsoft Edge con l'aggiornamento Windows 10 Creators Update, allo scopo di mitigare le possibilità di esecuzione di codice arbitrario. Per fare ciò Microsoft è stata costretta a spostare, non senza qualche difficoltà, le funzionalità di compilazione JIT (just in time) dell'engine JavaScript Chakra in un processo separato eseguito in una sandbox isolata.
Il processo JIT che usa Microsoft ha il compito di compilare JavaScript in codice nativo, con la creazione di uno shared map object che viene mappato al content process e riservando una prozione di memoria. Quando le pagine devono essere scritte in memoria, JIT effettua una chiamata alla funzione VirtualAllocEx() per allocare la memoria dallo spazio riservato precedentemente.
Se il content process viene compromesso ed è in grado di prevedere l'indirizzo dove il processo JIT va a chiamare la funzione VirtualAllocEx() - e secondo i ricercatori Project Zero si tratta di una cosa piuttosto facile da fare - si apre uno scenario in cui usando la funzione UnmapViewOfFile() si può rimuovere la mappatura della memoria condivisa, allocare una regione di memoria scrivibile sullo stesso indirizzo su cui il JIT sta per scrivere e scrivere in questa regione un payload di prossima esecuzione. Nel momento il cui il processo JIT chiama la funzione VirtualAllocEx(), anche se la memoria è già allocata, la chiamata ha successo e la protezione di memoria muta su PAGE_EXECUTE_READ. In questo modo i ricercatori di Google Project Zero sono stati in grado di scavalcare il controllo Arbitrary Code Guard e creare una pagina eseguibile in memoria.
La gravità di questa vulnerabilità è considerata di livello medio ed è stata comunicata a Microsoft nel mese di novembre 2017. Google ha riconosciuto a Microsoft periodo di 90 giorni per risolvere il problema, e ha concesso un'estensione di 14 giorni sulla scadenza poiché la risoluzione del problema è risultata essere più complicata del previsto. Google ha reso pubblica la falla perché Microsoft non è riuscita a rispettare neanche questa deadline e non ha potuto inserire la patch correttiva all'interno degli aggiornamenti del Patch Tuesday di febbraio, promettendo comunque di non mancare l'appuntamento con il Patch Tuesday del prossimo mese in programma per il 13 marzo.
49 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info[SIZE="1"](da →)[/SIZE]
MSRC che ieri, peraltro, ha precisato di non essere certa neppure del Marzo,
Quindi grazie davvero (Google) per adottare un modello etico responsabile, i consumatori MS te ne saranno grati (spero anzi che i loro trucchi siano usati contro i loro sistemi)
svegliatevi, avete fatto l'articolo con 3 giorni di ritardo (cioè oggi) e durante il copia/incolla non avete riportato neppure l'osservazione di cui sopra sullo slittamento causa complessità del fix!
Ma siete seri?
Ve la prendete con Google perché ha reso pubblica una falla dopo ben 90 giorni quando con tutta probabilità c'è gente che la conosceva anche prima di BigG?Piuttosto prendetevela con MS che in 3 mesi non è stata capace, nonostante le sue risorse, di chiuderla.
PS: vi ricordo che Skype è strabucato ma MS ha detto chiaro che al momento non rilascerà nessuna patch visto che le toccherebbe riscrivere tutto il codice...
per forza finisce in caciara, guarda il commento sopra (malafede, poi? Ci mettiamo altro nel calderone?)
PS: è arrivato lo scienziato! (riferito ad un altro..)
E se MS (ma chiunque altro) ci mettesse 10 anni? Dovrei evitare di divulgarlo con il rischio che altri lo possano evidenziare e magari farne un uso anche illecito?
Non è nascondendo i problemi sotto la sabbia che questi si risolveranno magicamente da soli.
Quello che è successo con Sprectre/Meltdown dovrebbe far capire come sia FONDAMENTALE a volte arrivare anche a queste forme di "ricatto" per incentivare le società a darsi da fare.
Lo sviluppo ha un costo e qualsiasi società pur di evitarsi una seccatura preferirebbe lasciare tutto un colabrodo finchè qualcuno con buone (o cattive) intenzioni si decida a diffondere il problema.
Tanto siete su XP e 7, questa vulnerabilità a voi non tocca dai
Microsoft ha detto che "sarebbe stato necessario un riesame approfondito del software".
Comunque, la vulnerabilità è presente in Skype per Windows solo fino alla versione 7.40. Nella versione 8, rilasciata a ottobre scorso, la falla non c’è più, come ha spiegato Microsoft.
"La gravità di questa vulnerabilità è considerata di livello medio ed è stata comunicata a Microsoft nel mese di novembre 2017. "
Ma poi quanti utenti usano Edge ?........
Comunque adesso la Microsoft, lo sa e risolverà il problema .
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".