Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità 0-day in Microsoft Edge

edge  microsoft  remote code execution   martedì, 20 febbraio 2018

È stata resa nota una vulnerabilità zero-day in Microsoft Edge che può causare l’esecuzione di codice arbitrario aggirando una funzionalità di protezione dell’applicazione che dovrebbe prevenire il caricamento e l’esecuzione nella memoria del browser di codice nativo malevolo.

Come spiegato da Microsoft, un’applicazione può caricare direttamente in memoria codice nativo malevolo in due modi: caricando una DLL o un eseguibile dal disco oppure generando o modificando dinamicamente il codice in memoria. La funzionalità Code Integrity Guard (CIG) contrasta il primo metodo abilitando per Microsoft Edge i requisiti di firma del codice delle DLL, garantendo che solo le DLL correttamente firmate possano essere caricate da un processo. La funzionalità Arbitrary Code Guard (ACG) integra e completa la protezione garantendo che le pagine di codice firmate caricate in memoria siano immutabili e che non sia possibile creare nuove pagine di codice non firmate.

La vulnerabilità, scoperta del team Project Zero di Google e considerata di media gravità, rende possibile per un attaccante eludere i controlli di ACG in Edge. Se sfruttata con successo questa vulnerabilità può consentire ad un attaccante di eseguire codice arbitrario nel contesto del processo del browser.

Al momento non sono disponibili aggiornamenti ufficiali da parte di Microsoft che risolvono questa vulnerabilità in Edge. Un exploit proof-of-concept di questa vulnerabilità è stato reso pubblicamente disponibile dagli scopritori. Secondo la politica di vulnerability disclosure di Google, in assenza di una patch da parte del produttore, la vulnerabilità è stata divulgata dopo 90 giorni dalla scoperta.

Microsoft ha dichiarato che la soluzione al problema è più complessa di quanto inizialmente previsto e che la falla verrà probabilmente risolta con gli aggiornamenti che dovrebbero essere rilasciati in occasione del prossimo Patch Tuesday, previsto per il 13 marzo 2018.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2019)

13 febbraio 2019

Nella giornata del 12 febbraio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Vulnerabilità multiple in PHP 7

13 febbraio 2019

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2019)

6 febbraio 2019

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto