Новости науки и техники
18 февраль 2018
Google раскрыла метод, позволяющий вредоносным сайтам использовать Edge
Команда Google Project Zero опубликовала подробности о методе обхода важного механизма в браузере Edge, защищающего от эксплоитов.
Речь идет о технологии Arbitrary Code Guard (ACG), реализованной в Windows 10 Creators Update для защиты от web-атак, предполагающих загрузку вредоносного кода в память. ACG позволяет отображать в память только код с соответствующей подписью. Тем не менее, JIT-компиляторы в современных браузерах создают проблемы для ACG. JIT-компиляторы трансформируют JavaScript в «родной» код, который может быть не подписан и запускаться в процессе контента. Для того чтобы JIT-компиляторы могли работать при включенной функции ACG, Microsoft выделила JIT-компиляцию в Edge в отдельный процесс, запускаемый в собственной изолированной песочнице.
Процесс JIT отвечает за компиляцию JavaScript в «родной» код и его отображение в запрашиваемый процесс контента, поясняет Microsoft. Таким образом, сам по себе процесс контента не может отображать в память или модифицировать свои собственные страницы JIT-кода. Однако команда Google Project Zero обнаружила уязвимость в том, как исполняемые данные записываются в процесс контента во время JIT-компиляции.
Представленный исследователями метод позволяет скомпрометированному процессу контента спрогнозировать, какой адрес JIT-процесс вызовет VirtualAllocEx() следующим, распределить участок памяти для записи по тому же адресу, который собирается использовать JIT-сервер, и записать туда полезную нагрузку для скорейшего выполнения.
Исследователи уведомили Microsoft о проблеме в середине ноября прошлого года, и по истечении 90 дней, отведенных на ее исправление, опубликовали подробности об атаке. Производитель намеревался исправить уязвимость к февралю, однако она оказалась намного сложнее, чем предполагалось ранее. Предположительный выход патча назначен на март 2018 года.
JIT-компиляция (Just-in-time compilation, компиляция «на лету») или динамическая компиляция – технология увеличения производительности программных систем, использующий байт-код, путем компиляции байт-кода в машинный код или в другой формат непосредственно во время работы программы.
Источник internetua.com
Просмотров: 7
Комментарии
Последние комментарии
- Эксперимент ПИРАМИДА
- «Умные» очки Toshiba dynaEdge AR Smart Glasses поступили в продажу
- В Windows 10 April Update нельзя отключить ПК без установки обновлений
- Офигенное Радио
- Номера телефонов экстренных служб города
- Facebook удалила почти 300 страниц и аккаунтов российской «фабрики троллей»
- Red Hat ушла в убыток
- UMIDIGI A1 Pro с новым процессором и USB Type-C будет стоить $100
- Беспилотный автомобиль впервые убил человека
- Назван современный смартфон с самым плохим аккумулятором
ТОП-10 комментариев
- Список дорогих и редких разменных монет Украины
- Отключение питьевой воды
- Преобразование центральной части г.Вольногорск
- Бойкотируй российское!
- Настройка акционного модема ZTF ZXV10 H108L
- Проишествия нашего городка
- И снова новые тарифы на ОГО!
- Отключение питьевой воды
- ПРОПОЗИЦІЇ мешканців міста щодо перейменування вулиць у м.Вільногірськ
- Расписание движения маршрутного такси Днепропетровск/Вольногорск/Днепропетровск
