Neun der nun g
Google hat Details zu einer Sicherheitslücke im Browser Edge veröffentlicht, da Microsoft das Loch nicht innerhalb der gesetzten Frist von 90 Tagen geschlossen hat. Entdeckt wurde die Anfälligkeit von Mitarbeitern von Googles Project Zero. Sie erlaubt es, eine wichtige Sicherheitsfunktion von Edge zu umgehen.
Das Arbitrary Code Guard (ACG) genannte Feature hatte Microsoft mit dem Creators Update für Windows 10 eingeführt, also vor rund einem Jahr. Es soll sicherherstellen, dass nur korrekt signierter Code in den Speicher geladen werden kann.
Allerdings muss der Browser eine Ausnahme machen: Just-in-Time-Compiler (JIT) moderner Browser wandeln JavaScript in nativen Code um, wovon Teile unsigniert sein können und in einem eigenen Prozess ausgeführt werden. Damit JIT-Compiler bei aktiviertem ACG funktionieren, gibt Microsoft dem JIT-Compiler von Edge einen separaten Prozess und führt diesen in einer eigenen isolierten Sandbox aus.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können. Ausgewähltes Whitepaper So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
“Der JIT-Prozess ist für die Kompilierung von JavaScript zu nativen Code und die Zuordnung zum zugehörigen Inhaltsprozess verantwortlich”, erläutert Microsoft die Funktion. “Auf diese Art ist es dem Inhaltsprozess selbst niemals erlaubt, seine eigene JIT-Code-Seite direkt zuzuordnen oder zu verändern.”
Der von Google-Forschern entdeckte Fehler entsteht, wenn der JIT-Prozess ausführbare Daten in den Inhaltsprozess schreibt. Demnach ist ein kompromittierter Inhaltsprozess in der Lage, die Speicheradresse eines JIT-Prozesses vorherzusagen. Das wiederum soll es dem Inhaltsprozess erlauben, “eine schreibbare Speicherregion” an der Adresse zu nutzen, auf die der JIT-Server zugreifen wird, um ihm ausführbaren Code unterzuschieben.
Die Anfälligkeit wird als mittelschwer eingestuft. Microsoft weiß seit Mitte November von dem Problem. Es teilte Google kurz vor seinem Februar-Patchday mit, die Entwicklung eines Fixes sei “komplizierter als anfänglich gedacht”. Deswegen sei es nicht möglich, den Termin am 13. Februar einzuhalten. “Das Team ist optimistisch, dass der Fix rechtzeitig für den 13. März bereit ist, allerdings liegt dieser Termin außerhalb der 90-Tage-Frist und einer 14-tägigen Nachfrist zur Angleichung an den Patch-Dienstag.” Daraufhin veröffentlichte Google den Bug am 15. Februar, zwei Tage nach Microsofts Februar-Patchday.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
