То ли программное обеспечение становится всё более сложным и неконтролируемым, то ли вопросам безопасности стали уделять больше внимания. Но на этот раз уязвимость выявлена в браузере Microsoft Edge. Вместе с обнародованием информации о дыре в безопасности, исследователь из Google Иван Фратрик (Ivan Fratric) сообщает о возможности обойти защиту Arbitrary Code Guard (AGG) и подвергнуть риску компьютер с Windows 10.
AGG была встроена в версию операционной системы 1703 (Creators Update) для блокирования эксплойтов JavaScript, пытающихся загрузить вредоносный код в память. Технически пользователи могут подвергнуть опасности свои компьютеры, просто посетив сомнительный сайт, посредством которого злоумышленники производят атаку.
Microsoft была уведомлена о существующей уязвимости в ноябре, но всё ещё не выпустила заплатку, потребовавшую больше времени. «Исправление проблемы управления памятью оказалось более сложным, чем предполагалось изначально, и с большой долей вероятности мы не успеем уложиться до выхода февральского пакета обновлений. Команда информационной безопасности настроена представить его 13 марта, однако этот срок выходит за рамки 90-дневного периода неразглашения (в рамках программы Project Zero) и дополнительного 14-дневного льготного периода, связанного с периодичностью выхода обновлений Windows», — сообщается в комментарии Microsoft.
Следовательно, пользователям браузера Microsoft Edge желательно до этого времени постараться избегать не вызывающих доверия сайтов, ссылки на которые, как правило, приходят из непроверенных источников, рассылаются по email и через мессенджеры. Учитывая сравнительно небольшую популярность браузера Edge, количество находящихся в зоне риска пользователей не очень велико, тем не менее Microsoft следовало бы поторопиться с развёртыванием исправления.
Источник: