kgborn
Goto Top

Zero-Day-Lücke in Microsoft Edge

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. Dies wurde gerade durch Google auf dieser Seite des Google Chromium-Projekts öffentlich gemacht.

Das Problem bezieht sich auf Microsofts Just In Time Compiler (JIT Compiler) für Javascript. Dieser ist vom Design von vornherein nicht durch den Arbitrary Code Guard (ACG) in Microsoft Edge geschützt. Dadurch kann ein kompromittierter Content-Prozess u.U. auf Speicherbereiche des JIT Compilers zugreifen und diesem Code unterschieben.

Die Lücke wird von Google als mittelschwer eingestuft. Microsoft wurde im November 2017 über den Fehler benachrichtigt, hatte jedoch Schwierigkeiten, das Problem zu beheben. Das Unternehmen hat sowohl die 90-Tage-Frist für die Offenlegung als auch ein zusätzlich zugestandenes 14-Tage-Fenster (um das das Unternehmen gebeten hatte) zum Schließen der Sicherheitslücke verpasst.

Nach aktuellen Informationen will Microsoft die Zero-Day-Sicherheitslücke zum März 2018-Patchday (13.3.2018) per Update beheben.

Content-Key: 365149

Url: https://administrator.de/contentid/365149

Ausgedruckt am: 19.03.2024 um 11:03 Uhr