Google又在微軟修補前公佈Microsoft Edge漏洞

Google又在微軟修補前公佈Microsoft Edge漏洞 Google Project Zero安全團隊去年11月發現一可繞過Microsoft Edge ACG漏洞,讓攻擊者透過Microsoft Edge將未獲簽章的惡意程式碼載入Windows電腦。儘管已通報微軟,但微軟尚未完成修補,本周末以超出期限為由公佈漏洞資訊。 文/林妍溱 | 2018-02-20發表 圖片來源: Google Google Project Zero本周末又以超出期限為由公佈微軟尚未修補完成Microsoft Edge中一個可能導致惡意網頁下載到Windows PC的安全功能漏洞。這項漏洞位於Microsoft Edge中的任意程式碼防護(Arbitrary Code Guard, ACG),它是微軟於2017年4月的Windows 10 Creators Update加入Microsoft Edge瀏覽器的兩項安全功能之一:ACG結合另一項功能Code Integrity Guard(CIG)可防止JavaScript將惡意程式碼透過瀏覽器載入Windows記憶體執行,唯有獲得簽章的網頁才能執行。Google Project 安全研究員Ivan Fratric去年11月發現一項可繞過ACG的漏洞,可讓攻擊者透過Microsoft Edge將未獲簽章的惡意程式碼載入Windows電腦。他隨後將此漏洞通報微軟。按照Project Zero的慣例,漏洞通報後軟體業者有90天可以修補。本月15日微軟回覆修補工作複雜度超出預期,微軟可能無法在2月安全更新這個記憶體管理問題,但有信心可以在3月13日完成。不過Fratric以已經超過90天修補期,以及配合微軟周二更新而多寬限的14天期間為由,公佈了這項漏洞。這已是Google近年自2015年及2017年初後,第三次在微軟修補完成產品漏洞前公諸於世。前兩次都引發微軟對Google的批評,並曾經於去年10月以牙還牙,公佈Google Chrome的漏洞,還藉此拿到Google抓漏獎金。    iThome Security

更多訊息更多資料都在這裡喔!~~~~~~~~~~~~~~~~~~

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *