圖片來源: 

Google

Google Project Zero本周末又以超出期限為由公佈微軟尚未修補完成Microsoft Edge中一個可能導致惡意網頁下載到Windows PC的安全功能漏洞。

這項漏洞位於Microsoft Edge中的任意程式碼防護(Arbitrary Code Guard, ACG),它是微軟於2017年4月的Windows 10 Creators Update加入Microsoft Edge瀏覽器的兩項安全功能之一:ACG結合另一項功能Code Integrity Guard(CIG)可防止JavaScript將惡意程式碼透過瀏覽器載入Windows記憶體執行,唯有獲得簽章的網頁才能執行。

Google Project 安全研究員Ivan Fratric去年11月發現一項可繞過ACG的漏洞,可讓攻擊者透過Microsoft Edge將未獲簽章的惡意程式碼載入Windows電腦。他隨後將此漏洞通報微軟。

按照Project Zero的慣例,漏洞通報後軟體業者有90天可以修補。本月15日微軟回覆修補工作複雜度超出預期,微軟可能無法在2月安全更新這個記憶體管理問題,但有信心可以在3月13日完成。

不過Fratric以已經超過90天修補期,以及配合微軟周二更新而多寬限的14天期間為由,公佈了這項漏洞。

這已是Google近年自2015年2017年初後,第三次在微軟修補完成產品漏洞前公諸於世。前兩次都引發微軟對Google的批評,並曾經於去年10月以牙還牙,公佈Google Chrome的漏洞,還藉此拿到Google抓漏獎金。

 

 

 


Advertisement

更多 iThome相關內容