Google rivela i dettagli su un bug di Edge prima che sia pronta una patch

I ricercatori del team Google Project Zero hanno rilevato una vulnerabilità nel browser Edge: se sfruttata da parte dei criminali informatici può portare all’esecuzione di codice nocivo sul sistema della vittima.

Ad essere presa di mira è la funzionalità di protezione Arbitrary Code Guard (ACG) che Microsoft ha introdotto in Edge ad aprile 2017, con il rilascio di Windows 10 Creators Update.

ACG, come spiegato in quest’analisi pubblicata a suo tempo da Microsoft, è complementare al CIG (Code Integrity Guard), anch’essa relativamente recente.

I tecnici di Microsoft spiegano che un’applicazione può caricare direttamente codice nativo in memoria usando due approcci: caricando DLL/EXE malevoli da disco; generando o modificando dinamicamente il codice in memoria.
CIG previene l’utilizzo del primo metodo attivando una procedura di firma sul codice che compone le librerie DLL usate da Edge; ACG integra tale misura di sicurezza assicurandosi che il codice dotato di firma resti immutato nel corso del tempo e che non vengano create pagine di memoria contenenti codice sprovvisto di firma.

Ivan Fratric, ingegnere del team di Project Zero, ha scoperto che ACG può essere superato caricando in memoria codice non firmato e permettendo l’esecuzione di codice malevolo caricato attraverso una pagina web malevola, visitata con Edge.

Fratric ha informato Microsoft circa la sua scoperta lo scorso novembre ma oggi, dopo 90 giorni e il mancato rilascio di una patch correttiva, ha deciso di pubblicare i dettagli sul problema di sicurezza.

Stando a quanto riferito, la risoluzione del bug è piuttosto complessa e i tecnici di Microsoft contano di riuscire a rilasciare un aggiornamento risolutivo il prossimo 13 marzo.