Google revela falha no Microsoft Edge antes de correção ser lançada
Lá vamos nós de novo. O Google tem um projeto de segurança para encontrar vulnerabilidades de software e avisar os responsáveis. Se uma correção não for liberada em 90 dias, a falha é divulgada publicamente. E, mais uma vez, a Microsoft estourou o prazo.
Como explica o Neowin, o navegador Edge tem uma falha de segurança de nível “médio”, em um recurso criado para mitigar a execução de código arbitrário.
Trata-se do ACG (Arbitrary Code Guard), disponível desde o Windows 10 Creators Update. Basicamente, o Edge tem um processo separado para compilar JavaScript em código nativo e reservar espaço na memória.
O processo roda de forma isolada em uma sandbox, mas segundo o Google, é possível quebrar essa proteção e injetar código executável — e potencialmente malicioso — na memória.
O Google deu o aviso à Microsoft em novembro de 2017. A empresa disse que não conseguiria resolver a falha em 90 dias, por ser mais complexa do que o esperado, então o prazo foi ampliado em mais 14 dias, como é de praxe.
Ainda assim, a Microsoft estourou o prazo, e o Google divulgou a falha. Ela diz que a correção será disponibilizada só em 13 de março, com o Patch Tuesday.
A iniciativa do Google, chamada Project Zero, revelou publicamente duas falhas sérias no Windows em 2015, e mais outra no ano passado. Isso deixou a Microsoft irritada: ela acredita que o prazo de 90 dias pode ser curto demais em alguns casos.
Em setembro, a Microsoft descobriu uma falha no Chrome que permitia executar código remotamente. Ela foi corrigida em poucos dias no canal beta, mas permaneceu na versão estável “por quase um mês”. Por isso, a empresa só levou isso a público em outubro, após a correção ser liberada para todos.
Com informações: Neowin, The Verge.
