Google Project Zero本周末又以超出期限為由公佈微軟尚未修補完成Microsoft Edge中一個可能導致惡意網頁下載到Windows PC的安全功能漏洞。
這項漏洞位於Microsoft Edge中的任意程式碼防護(Arbitrary Code Guard, ACG),它是微軟於2017年4月的Windows 10 Creators Update加入Microsoft Edge瀏覽器的兩項安全功能之一:ACG結合另一項功能Code Integrity Guard(CIG)可防止JavaScript將惡意程式碼透過瀏覽器載入Windows記憶體執行,唯有獲得簽章的網頁才能執行。
Google Project 安全研究員Ivan Fratric去年11月發現一項可繞過ACG的漏洞,可讓攻擊者透過Microsoft Edge將未獲簽章的惡意程式碼載入Windows電腦。他隨後將此漏洞通報微軟。
按照Project Zero的慣例,漏洞通報後軟體業者有90天可以修補。本月15日微軟回覆修補工作複雜度超出預期,微軟可能無法在2月安全更新這個記憶體管理問題,但有信心可以在3月13日完成。
不過Fratric以已經超過90天修補期,以及配合微軟周二更新而多寬限的14天期間為由,公佈了這項漏洞。
這已是Google近年自2015年及2017年初後,第三次在微軟修補完成產品漏洞前公諸於世。前兩次都引發微軟對Google的批評,並曾經於去年10月以牙還牙,公佈Google Chrome的漏洞,還藉此拿到Google抓漏獎金。
熱門新聞
2024-10-14
2024-10-13
2024-10-13
2024-10-11
2024-10-14
2024-10-12
2024-10-11