Google рассказала об уязвимости в браузере Microsoft Edge до выхода патча

Компания предупредила разработчиков заранее, но исправления так и не подготовили.

В ноябре 2017 года специалисты Google обнаружили уязвимость в браузере Microsoft Edge, который встроен в систему Windows 10 по умолчанию. Исследователи дали компании 90 дней на исправления ошибки, так как её отнесли к «среднему» уровню угрозы. После этого детали уязвимости пообещали опубликовать в открытом доступе. Об этом сообщает сайт Neowin.

Разработчики не успели подготовить патч вовремя и попросили дать им больше времени. Тогда в Google добавили к трём месяцам ещё две недели, но специалисты Microsoft заявили, что «патч оказался более сложным, чем они думали». Инженер Google отметил, что точная дата исправления этой ошибки до сих пор неизвестна.

Уязвимость в Edge связана с использованием памяти ядра. В феврале 2017 года Microsoft объявила, что будет использовать систему Arbitrary Code Guard (ACG) в браузере. Она изолирует в отдельный процесс компиляторы Just-in-Time (JIT), отвечающие в том числе за обработку JavaScript.

Технически, эта мера была направлена на то, чтобы обезопасить пользователей, но оказалось, что связь между изолированным JIT и основным исполняемым кодом браузера можно скомпрометировать. Уязвимость позволяет создать в памяти исполняемую страницу.

Google уже не впервые публикует информацию об уязвимостях до патчей. Например, в 2016 году компания рассказала о крупной уязвимости в Windows через 10 дней после того, как передала её в Microsoft.

Кроме того, компания часто делает исключения из собственных правил, особенно если дело касается её продуктов. В случае с уязвимостями Meltdown и Spectre инженеры Google обнаружили проблемы с Intel, AMD и другими чипами за полгода до публикации подробностей. Однако ошибки затрагивали устройства на андроиде наряду с остальными.

#технологии #уязвимости