Edge mit kritischer Sicherheitslücke: Google verpetzt Microsoft

Google veröffentlicht Details zu einer im November 2017 entdeckten, kritischen Sicherheitslücke des Microsoft Edge-Browsers. Der Suchmaschinenriese räumte Microsoft die üblichen 90 Tage Zeit zum Beheben des Fehlers ein. Nachdem Microsoft die Sicherheitslücke innerhalb der vorgegebenen Zeit nicht beheben konnte, macht Google das Leck nun öffentlich. Laut Microsoft ist die Sicherheitslücke im Edge-Browser zu umfangreich, um sie innerhalb der von Google vorgegebenen 90 Tage zu schließen.

Es bleibt abzuwarten, ob ein entsprechendes Update für den Edge-Browser schon zum nächsten Microsoft-Patchday am 13. März erscheinen wird. Möglicherweise bleibt die Sicherheitslücke noch länger bestehen. Denn ein Mitglied von Googles "Project Zero"-Team kommentierte, dass Microsoft noch keinen Termin für eine Veröffentlichung des Patches festlegen konnte. Die Veröffentlichung von Sicherheitslücken und Bugs nach Ablauf einer genannten Frist soll gewährleisten, dass sich Unternehmen auch tatsächlich um gemeldete Probleme kümmern. 

Lesetipp: Sicher surfen mit Chrome, Firefox und Edge: 7 Tipps für jeden Browser

Worum geht es bei der Lücke? Beim Edge-Browser sorgt der Arbitrary Code Guard (ACG) dafür, dass nur korrekt signierte Codes in den Speicher geladen werden können. Allerdings muss der Browser zum Beispiel für JavaScript Ausnahmen machen. In solchen Fällen wandelt ein Just-in-Time-Compiler (JIT) die Informationen zu einem nativen Code um, der auch unsignierte Teile beinhalten kann. Hacker könnten den JIT nutzen, um ausführbaren Schadcode in den Speicher zu schmuggeln.