Google ออกมาเปิดเผยรายละเอียดแก่สาธารณะเกี่ยวกับช่องโหว่บน Microsoft Edge ที่ผู้โจมตีสามารถหลบหลีกฟีเจอร์ความปลอดภัยอย่าง Arbitrary Code Guard (ACG) ได้ ซึ่งเป็นฟีเจอร์ใหม่ที่นำมาใช้ตั้งแต่เมษายนปีที่ผ่านมาพร้อมกับตัวอัพเดต Windows 10 Creators
ACG นับเป็นหนึ่งในสองฟีเจอร์ใหม่นอกจาก Code Integrity Guard (CIG) ที่ไมโครซอฟท์โฆษณาว่า จะช่วยป้องกันผู้โจมตีไม่ให้ใช้จาวาสคริปต์โหลดโค้ดอันตรายลงในหน่วยความจำคอมพิวเตอร์ผ่าน Edge ซึ่งทางวิศวกรจากทีม Project Zero ของกูเกิ้ลได้ค้นพบวิธีบายพาส ACG ทำให้โหลดโค้ดที่ไม่ได้รับอนุญาตลงในหน่วยความจำได้อยู่ดี
ทางกูเกิ้ลได้รายงานบั๊กนี้ให้ไมโครซอฟท์ตั้งแต่พฤศจิกายนที่ผ่านมา แต่ปัจจุบันได้เลยเดดไลน์ที่เปิดโอกาสให้ออกแพ็ตช์มาแล้ว ทางไมโครซอฟท์แจ้งกับกูเกิ้ลว่า การแก้ไขช่องโหว่นี้ซับซ้อนกว่าที่คิดไว้ตอนแรก ซึ่งไม่น่าจะแก้ไขได้ทันเดดไลน์ในเดือนกุมภาพันธ์นี้เนื่องจากปัญหาด้านการจัดการหน่วยความจำ
ทั้งนี้ ไมโครซอฟท์แจ้งว่า น่าจะออกแพ็ตช์ได้ภายในวันที่ 13 มีนาคมนี้ อย่างไรก็ดี ช่องโหว่ดังกล่าวถือเป็นช่องโหว่ครั้งที่สองของ Edge ที่ทางกูเกิ้ลออกมาแฉ หลังจากก่อนหน้านี้กูเกิ้ลได้ออกมาเปิดเผยบั๊กบน Edge รอบหนึ่งเมื่อกุมภาพันธ์ปีที่แล้ว โดยนักวิจัยของกูเกิ้ลที่ออกมาเปิดเผยบั๊กนี้ยังได้พัฒนาทูลค้นหาช่องโหว่บนเว็บบราวเซอร์โดยเฉพาะที่ชื่อว่า Domato อีกด้วย
ทีมา : Bleepingcomputer