В браузере Microsoft Edge обнаружилась очень серьезная уязвимость, которая могла использоваться хакерами для обхода встроенного механизма защиты от эксплоитов. Еще до выхода официальных исправлений информация об этой дыре появилась в Сети, поэтому сейчас она представляет особую опасность, так как ее могут взять на вооружение хакеры и использовать для совершения серьезных атак.
В поиске новых уязвимостей преуспел специалист проекта Google Project Zero Иван Фратрик. Он рассказал, что весной прошлого года в браузере Microsoft Edge появился новый функционал в виде защитного механизма под названием Arbitrary Code Guard или сокращенно ACG. Он появился в веб-обозревателе после выхода масштабного обновления Creators Update. Этот механизм был реализован для того, чтобы препятствовать загрузке через браузер на компьютер вредоносного кода. Но как выяснилось впоследствии, этот механизм оказался не таким надежным, как хотелось бы специалистам Microsoft. Иван Фратрик обнаружил способ, который помогает обходить защиту AGG. Если злоумышленнику удастся это сделать, то он сможет загрузить на персональный компьютер жертвы неподписанный код, используемый для разных нужд. Такую атаку можно осуществить очень просто, всего лишь заманив пользователя на зараженный сайт, который обязательно должен быть открыт в браузере Microsoft Edge.
Суть проблемы кроется в работе JIT-компилятора, который реализован в веб-обозревателе. Эксперты выяснили, что работа AGG может нарушаться из-за современных Just-in-Time компиляторов. Чтобы решить эту проблему и сделать работу встроенного компилятора стабильной, избавив от возможных посторонних вмешательств, разработчики компании решили выделить его в отдельный процесс. Для этого его изолировали в отдельной песочнице. Работа в ней тоже имеет свои особенности. Процесс записи исполняемых данных происходит специфически и именно с ним связана уязвимость.
Фратрик сообщил, что проблему он обнаружил еще в конце осени прошлого года. Он дал компании Microsoft положенные 90 дней на устранение уязвимости, но до сих пор проблема так и не была исправлена. Февральский вторник обновлений не принес патча для этой проблемы, поэтому специалист счел необходимым предупредить пользователей об очередной опасной уязвимости в браузере Edge.
Компания Microsoft уже прокомментировала сложившуюся ситуация и отметила, что решение этой проблемы требует более комплексного подхода. Если бы ее можно было исправить легко и быстро, то патчи для нее уже б давно вышли, но так как проблема оказалась более серьезной, чем ожидалось, то и с выходом обновлений пришлось повременить. Но зато представители компании уже заявили, что работа над исправлениями для данной уязвимости уже активно ведется и патчи для нее должны выйти вместе со следующим крупным обновлением операционной системы Windows 10, которое запланировано на следующий месяц.
Добавим, что ранее уже случались такие ситуации, когда информация об уязвимостях появлялась в Интернете раньше выхода официальных патчей. В некоторых случаях данные о них публиковали тоже специалисты Google Project Zero. Один из таких случаев произошел в феврале прошлого года. Тогда отличился тоже Иван Фратрик. Он обнаружил уязвимость, которая получила идентификатор CVE-2017-0037, и сообщил о ней компании Microsoft. Выждав 90-дневный срок, он обнародовал информацию о проблеме, которая кроме браузере Microsoft Edge затрагивала еще и Internet Explorer. Такая же ситуация произошла еще раньше, но тогда специалистам Google удалось обнаружить уязвимость в Windows GDI, причем дыра в этом компоненте имела критический характер.