[:pb]A equipe Project Zero do Google divulgou publicamente uma vulnerabilidade no Microsoft Edge que ainda não foi corrigida pela Microsoft.
Google divulga vulnerabilidade no Microsoft Edge
Esta vulnerabilidade torna possível para um atacante burlar o recurso de segurança do navegador do Windows 10 conhecido como Arbitrary Code Guard (ACG).
O ACG foi criado para impedir o carregamento de códigos maliciosos na memória a partir do navegador. Combinado com o recurso Code Integrity Guard, ele se certifica de que apenas código assinado digitalmente por uma fonte confiável seja carregado na memória.
Como isso causava problemas com alguns compiladores JavaScript Just-In-Time (JIT) que convertem JavaScript para código nativo, a Microsoft o moveu para um processo separado que roda em um ambiente próprio isolado.
O problema é que um pesquisador de segurança do Google descobriu como burlar o ACG e assim carregar conteúdo não assinado na memória.
A vulnerabilidade foi classificada como sendo de “médio risco” e a Microsoft deve lançar uma correção junto com as atualizações de segurança do mês de março.
Detalhes técnicos sobre a vulnerabilidade no Microsoft Edge estão disponíveis aqui.
via Baboo[:]