Google ungkap kelemahan keamanan Microsoft sebelum dirilis

TIM  peneliti proyek Google’s Project Zero cybersecurity telah mengungkapkan bug lain di produk Microsoft sebelum diperbaiki. Kali ini, isu “Medium” yang teregistrasi terletak pada browser web Microsoft’s Edge. Ini bisa memungkinkan injeksi kode dan eksekusi.

Sesuai dengan kebijakan pengungkapan Node Zero, Google memberitahukan penemuannya kepada Microsoft setelah menemukan masalahnya kembali pada bulan November. Ini memberi perusahaan standar 90 hari untuk memperbaiki masalah dan melepaskan patch sebelum mengeluarkan pengungkapan publik. Google memberikan tambahan perpanjangan dua minggu kepada Microsoft untuk memungkinkan pembaruan disertakan dalam rilis “Patch Tuesday” bulanan perusahaan.

Meski ditambah waktu, Microsoft tetap belum berhasil memperbaiki masalah di dalam jendela waktu yang dialokasikan. Setelah mengkonfirmasikan ke Google, bahwa saat ini tidak ada jangka waktu yang pasti untuk diluncurkan, Project Zero go public dengan pengungkapannya meskipun tidak ada patch yang tersedia. Hal ini memungkinkan penyerang untuk mengembangkan eksploitasi menggunakan cacat yang bisa dikerahkan di “alam bebas”.

Masalahnya terletak pada fitur Microsoft Edge yang disebut Arbitrary Code Guard (ACG). Sesuai judul, ACG seharusnya mencegah pelaku kejahatan menjalankan kode sewenang-wenang di browser web. ACG dirancang untuk menghentikan kode yang dicurigai agar tidak dimasukkan ke memori, mengisolasinya sebelum memiliki dampak.

Masalah yang ditemukan oleh Project Zero terletak pada penerapan ACG, yang bergantung pada proses terpisah untuk kompilasi kode just-in-time (JIT). Seperti yang dijelaskan oleh Microsoft tahun lalu, JIT berjalan “di sandbox terisolasi sendiri” dan menjembatani kesenjangan antara halaman web dan kode yang dilindungi. Google menemukan bahwa alokasi memori JIT dapat diprediksi, yang dapat dimanfaatkan oleh proses konten yang disusupi untuk menyuntikkan kode sewenang-wenang ke ACG.

Kompleksitas teknis dari masalah ini telah menggagalkan usaha Microsoft untuk mengembangkan perbaikan di dalam jendela pengungkapan 90 hari. Dalam sebuah komentar mengenai laporan bug Project Zero, Microsoft mengatakan bahwa “perbaikan lebih kompleks daripada yang diperkirakan sebelumnya” dan akan memerlukan waktu tambahan untuk dikembangkan. Perusahaan sekarang menyiapkan patch untuk rilis pada update Maret Patch pada bulan Maret, yang akan membuat pelanggan berisiko untuk satu bulan lagi.

Ini bukan kali pertama Project Zero telah mengungkapkan masalah perangkat lunak Microsoft sebelum mereka ditambal. Kebijakan pengungkapan 90 hari dipresentasikan oleh Google sebagai cara untuk menekan pembuat perangkat lunak untuk menyelesaikan masalah dengan cepat setelah mereka ditemukan.

Praktik ini sangat kontroversial dan Microsoft secara terbuka telah mengungkapkan rasa frustrasinya setelah pengungkapan serupa di masa lalu. Kritikus mencatat bahwa kegagalan untuk memenuhi tenggat waktu menghasilkan deskripsi eksploitasi yang dipublikasikan sementara pengguna masih berisiko, yang dapat membuat penyerang menggunakan penemuan tersebut dengan jahat.