Google Project Zero安全团队去年11月发现一可绕过Microsoft Edge ACG漏洞,让攻击者透过Microsoft Edge将未获签章的恶意代码加载Windows电脑。尽管已通报微软,但微软尚未完成修补,本周末以超出期限为由公布漏洞信息。
Google Project Zero本周末又以超出期限为由公布微软尚未修补完成Microsoft Edge中一个可能导致恶意网页下载到Windows PC的安全功能漏洞。
这项漏洞位于Microsoft Edge中的任意程序代码防护(Arbitrary Code Guard, ACG),它是微软于2017年4月的Windows 10 Creators Update加入Microsoft Edge浏览器的两项安全功能之一:ACG结合另一项功能Code Integrity Guard(CIG)可防止JavaScript将恶意代码透过浏览器加载Windows内存执行,唯有获得签章的网页才能执行。
Google Project 安全研究员Ivan Fratric去年11月发现一项可绕过ACG的漏洞,可让攻击者透过Microsoft Edge将未获签章的恶意代码加载Windows计算机。他随后将此漏洞通报微软。
按照Project Zero的惯例,漏洞通报后软件业者有90天可以修补。本月15日微软回复修补工作复杂度超出预期,微软可能无法在2月安全更新这个内存管理问题,但有信心可以在3月13日完成。
不过Fratric以已经超过90天修补期,以及配合微软周二更新而多宽限的14天期间为由,公布了这项漏洞。
这已是Google近年自2015年及2017年初后,第三次在微软修补完成产品漏洞前公诸于世。前两次都引发微软对Google的批评,并曾经于去年10月以牙还牙,公布Google Chrome的漏洞,还藉此拿到Google抓漏奖金。
更多文章请往:纵横体育全能家 http://tpgym.com.tw/