Microsoft-Browser Edge: Google veröffentlicht Zero-Day-Lücke, kein Patch in Sicht

Der JIT-Compiler, der Microsofts Edge-Browser von Angriffscode aus dem Web isolieren soll, lässt sich selbst zum Einschleusen von Angriffscode missbrauchen. Google hat die dazugehörige Lücke nun veröffentlicht, ohne dass Microsoft Zeit zum Patchen hatte.

In Pocket speichern vorlesen Druckansicht 103 Kommentare lesen
Microsoft-Browser Edge: Google veröffentlicht Zero-Day-Lücke, kein Patch in Sicht

(Bild: Pixabay)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Um zu verhindern, dass Angreifer über den Windows-eigenen Browser Edge Schadcode ausführen können, verfügt dieser über Exploit-Schutz-Funktionen namens Code Integrity Guard (CIG) und Arbitrary Code Guard (ACG). ACG verwendet einen Just-in-Time-Compiler in einem eigenen Prozess und soll sicherstellen, dass der von CIG geladene und als vertrauenswürdig verifizierte Code nicht vor der Ausführung im Speicher modifiziert wird, um böse Dinge zu tun. ACG soll also den aus dem Web geladenen Code isolieren, damit dieser den Browser-Prozess nicht dazu missbrauchen kann, Schaden auf dem System anzurichten. Leider steckt gerade im JIT-Compiler des ACG-Schutzmechanismus eine Schwachstelle.

Über diese Sicherheitslücke kann ein Angreifer eben jenen Exploit-Schutz aushebeln. Dazu muss der Angreifer zwar eine andere, bereits bestehende Lücke im Edge-Browser ausnutzen, wird dann aber nicht mehr vom ACG-Schutz ausgebremst. Das stellt eine nicht unbedeutende Schwachstelle in der Rüstung des von Microsoft als besonders abgesichert beworbenen Browsers da. Das ist vor allem vor dem Hintergrund der Spectre-Sicherheitslücken brisant. Aus der Beschreibung der aktuellen Lücke lässt sich indirekt schließen, dass sie sich wahrscheinlich für Edge-basierte Angriffe in dieser Richtung eignet. Bisher ist nicht bekannt, bis wann Microsoft die Lücke schließen will. Auf Grund der Komplexität der zugrundeliegenden Technik kann das durchaus noch einige Zeit dauern.

"ACG bypass": Hier ist es den Google-Forschern gelungen, auf einen Speicherbereich schreibend zuzugreifen. An diese Stelle hätten sie auch Schadcode schreiben und diesen dann ausführen können.

(Bild: Google / Project Zero)

Entdeckt hat die Lücke das Project-Zero-Forscherteam. Googles Sicherheitsforscher waren in der Vergangenheit immer wieder mit Kollegen, darunter den Entwicklern bei Microsoft, zusammen gerasselt, weil sie Lücken grundsätzlich 90 Tage nach ihrer ersten Meldung an den Hersteller veröffentlichen. Die Kritik an ihrem Vorgehen hat dazu geführt, dass die Project-Zero-Forscher Microsoft nun des öfteren 14 zusätzliche Tage gewähren, um einen Fix als Teil des jeweils nächsten monatlichen Patchdays zu verteilen. Auch in diesem Fall wurde Microsoft diese Schonfrist gewährt, laut einer Antwort der Edge-Entwickler an Google reicht das ob der komplexen Lage bei dieser brisanten Lücke allerdings nicht aus. Momentan könne man nicht sagen, wann das entsprechende Edge-Update an die Windows-Anwender ausgeliefert werden kann. (fab)