Google našel díru v Edgi, kterou Microsoft zatím nestihl opravit. Opravil ale jinou

20. 2. 2018

Sdílet

 Autor: Redakce
Zatímco již Microsoft jeden bezpečnostní problém ve Windows opravil, druhý je komplexní, takže oprava teprve přijde. Googlu to nezabránilo publikovat detaily o zranitelném místě.

Google pokračuje ve své kontroverzní politice. Zveřejnil totiž informace o chybě nalezené ve Windows v rámci programu Zero dříve, než ji Microsoft stihl opravit. Slabé místo zabezpečení se týká kompilace JIT (just in time) v Edgi. Ta probíhá v samostatném procesu, jenž je rovněž zodpovědný za mapování nativního kódu do obsahového procesu. Pakliže je obsahový proces kompromitován, lze ho zneužít k útoku, výsledkem čehož je typicky spuštění malwaru. Část problému podle Googlu spočívá v tom, že obsahový proces dokáže relativně úspěšně predikovat, na jakou adresu v paměti proces pro kompilaci JIT tzv. zavolá. Podrobný popis případně hledejte na webu projektu Zero. Google o objeveném problému informoval Microsoft v listopadu, přičemž před pár dny vypršela 90denní lhůta pro opravu. Výše jsem praxi reklamního giganta nazval kontroverzní, protože 90 dní nemusí být dost času na vyprodukování opravy. Zveřejnění detailů o zranitelném místu ovšem otevírá cestu jejímu zneužití. Firma tak dostává do ohrožení ty, kdo dotčený produkt používají. Microsoft přitom Googlu odpověděl, že zalepení díry je náročnější, než původně myslel. Proto uvedl, že oprava velmi pravděpodobně neb

bitcoin školení listopad 24

Obelstění antivirového skeneru

Druhý objevený problém, o němž se dnes budeme bavit, byl naštěstí opraven v rámci únorového záplatovacího úterý. Ve zkratce lze problém popsat tak, že malware, jehož kód obsahuje nulový znak, může obejít bezpečnostní skenování ve Windows 10, jež provádí Anti-Malware Scan Interface. Tato komponenta slouží jako prostředník, skrze něhož mohou antiviry na žádosti aplikací skenovat soubory.

Podle Bleeping Computeru byla tato komponenta navržena speciálně pro inspekci skriptů vyvolaných v prostředích jako PowerShell, které je obtížné detekovat klasickým antiviry (jež porovnávají kód se vzorky v databázi). AMSI nicméně skenování ukončovalo ve chvíli, kdy narazilo na nulový znak, místo aby pokračovalo v kontrole celého kódu. Toto chování objevil Satoshi Tanda a detailně jej popsal na svém blogu.