Project Zero Google mengungkapkan bug browser Edge setelah Microsoft tidak memperbaikinya tepat waktu

Tim keamanan Project Zero Google telah mengungkapkan kelemahan Microsoft Edge setelah perusahaan Redmond tidak berhasil memperbaikinya tepat waktu.

Rincian bug bypass keamanan awalnya dibagikan dengan Microsoft pada 17 November tahun lalu, tetapi karena Microsoft tidak dapat membuat tambalan yang sesuai dalam periode perbaikan 90 hari Google yang tidak dapat dinegosiasikan, para peneliti keamanan mengumumkannya kepada publik.

Project Zero biasanya memberi perusahaan perangkat lunak perpanjangan 14 hari di jendela 90 hari itu jika patch ditutup, tetapi dalam kasus Microsoft tidak.

Tepat 90 hari setelah penemuan, Google mengungkapkan alasan Microsoft, dengan mengutip: "Perbaikannya lebih kompleks dari yang diperkirakan, dan sangat mungkin bahwa kami tidak akan dapat memenuhi batas waktu rilis Februari karena masalah manajemen memori ini.

"Tim ini yakin bahwa ini akan siap untuk dikirim pada 13 Maret (2018-03-13), namun ini melampaui SLA 90 hari (perjanjian tingkat layanan) dan 14 hari masa tenggang untuk menyelaraskan dengan Pembaruan Selasa."

Oleh karena itu Google segera menerbitkan rincian bug, mengungkapkan kepada pengguna Microsoft Edge bagaimana mereka tanpa patch selama hampir satu bulan lagi.

Untungnya, bug itu tidak terlalu berbahaya. Perusahaan keamanan Sophos menunjukkan bahwa ini tidak seburuk eksploitasi eksekusi kode jarak jauh. Ini sebenarnya bypass keamanan yang dapat memungkinkan penyerang yang telah merebut kendali dari browser pengguna untuk melewati lapisan pertahanan kedua Microsoft, yang dikenal sebagai Arbitrary Code Guard (ACG).

"ACG seharusnya mencegah serangan eksekusi kode jarak jauh sebelum mereka dapat membuat kemajuan," jelas Paul Ducklin dari Sophos dalam sebuah posting blog. "Sederhananya, (itu) bekerja dengan mengunci memori yang digunakan Edge untuk menjalankan kode perangkat lunaknya sendiri."

Penyerang yang menggunakan cacat untuk mendapatkan kontrol melalui halaman web yang baru saja dimuat Edge tidak dapat memodifikasi kode yang dapat dieksekusi yang sudah ada dalam memori, mereka juga tidak dapat mengalokasikan blok memori baru untuk menyimpan kode nakal, jadi Sophos menyarankan pengguna Edge tidak perlu khawatir terlalu banyak tentang itu.

"(Sementara) lubang ini tidak memberikan penjahat cara langsung untuk mengambil alih browser Anda segera, (pengguna Edge) dapat menganggapnya sebagai kerentanan yang bisa membuat hal buruk menjadi lebih buruk, daripada hal buruk di tempat pertama," Ducklin menambahkan.

Namun demikian, itu selalu yang terbaik untuk menjaga komputer Anda seaman mungkin, jadi jika Anda adalah pengguna browser Edge, cari tambalan Microsoft yang akan datang. Mungkin itu termasuk dalam rilis Patch Tuesday berikutnya.

Gambar: Shutterstock