Microsoft manque une porte et une faille de Edge est dévoilée

 

L’équipe Project Zero de Google a publié les détails d’une vulnérabilité non-corrigée permettant d’attaquer le navigateur Edge en contournant une protection déployée par Microsoft.

Cette couche de sécurité, Arbitrary Code Guard (ACG), a été intégrée à Windows 10 Creators Update afin d’aider à lutter contre les attaques Web tentant de charger du code malveillant en mémoire. La protection garantit que seul du code correctement signé peut être enregistré en mémoire.

Départ manqué pour le Patch Tuesday de février

Cependant, comme Microsoft l’explique, les compilateurs Just-in-Time (JIT) utilisés dans les navigateurs Web modernes créent un problème pour ACG. Ces compilateurs JIT transforment le JavaScript en code natif, parfois non signé et l’exécutent dans un processus de contenu.

Pour s’assurer que les compilateurs JIT fonctionnent avec ACG activé, Microsoft a mis la compilation JIT d’Edge dans un processus séparé qui s’exécute dans sa propre sandbox isolée. Microsoft a déclaré que cette décision était « une tâche d’ingénierie non négligeable ».

« Le processus JIT est chargé de compiler le JavaScript en code natif et de le mapper dans le processus de contenu demandeur, de sorte que le processus de contenu lui-même n’est jamais autorisé à mapper ou modifier directement ses propres pages de code JIT » détaille l’éditeur.

Le projet Zero de Google a découvert qu’un problème découle de la manière dont le processus JIT écrit des données exécutables dans le processus de contenu.

En utilisant UnmapViewofFile, la technique de contournement d’ACG permet à un processus de contenu compromis de prédire quelle adresse un processus JIT appellera VirtualAllocEx () ensuite, et pour le processus de contenu « d’allouer une zone de mémoire inscriptible sur la même adresse où le serveur JIT écrira et écrire une charge utile prête à exécution. »

Google a signalé le problème de gravité moyenne à Microsoft à la mi-novembre et a publié les détails du contournement hier, l’éditeur ayant dépassé le délai de 90 jours.

Microsoft a confirmé la vulnérabilité d’ACG dans une réponse à Google à l’approche du Patch Tuesday de février. L’éditeur semblait vouloir résoudre le problème pour cette échéance, avant de la juger « plus complexe ». Microsoft vise à présent le Patch Tuesday de mars pour la diffusion d’un correctif.

« La solution est plus complexe que prévu initialement, et il est très probable que nous ne serons pas en mesure de respecter la date limite de publication de février en raison de ces problèmes de gestion de la mémoire » reconnaissait Microsoft.

« L’équipe est convaincue qu’il [le correctif] sera prêt à être livré le 13 mars, mais cela va au-delà du SLA de 90 jours et de la période de grâce de 14 jours pour s’aligner sur Update Tuesdays. »

Voir aussi notre page
Chiffres clés : le marché mondial des navigateurs Internet

Go to Source


bouton-devis