Google har avslöjat detaljer om en ganska allvarlig brist i Microsofts Edge webbläsare, men Microsoft kommer inte att kunna åtgärda problemet förrän i mitten av mars.
Bristen låter angripare kringgå en Edge -säkerhetsfunktion som heter Arbitrary Code Guard (ACG) som hindrar skadlig JavaScript från att köras på en webbsida. Bugfinder från Googles Project Zero -team hittade felet den 17 november och gav Microsoft standard 90 dagar för att åtgärda det innan Google avslöjade felet.
Men på deadline-dagen, den 15 februari, sa Microsoft till Project Zero att det inte skulle klara tidsfristen, även med en två veckors förlängning som Project Zero tydligen hade erbjudit. Så Google spillde bönorna om bristen, korrigeringen för vilken kommer 13 mars med Microsofts nästa Patch Tuesday -runda med schemalagda uppdateringar.
Edge -användare kanske vill avstå från att använda Microsofts flaggskeppswebbläsare tills dess.
MER: Edge vs Chrome vs. Firefox: Battle of the Windows 10 Webbläsare
Silverfodret här är att denna brist "inte kan utnyttjas på egen hand", som Google Project Zero -forskaren Ivan Fratric skrev i en kommentar till sitt ursprungliga blogginlägg.
För att attackera någon annans Edge -webbläsare skulle steg ett vara att infektera eller på annat sätt äventyra en annan process i deras webbläsare. Först efter det skulle du kunna gå vidare till steg två: Du skulle använda denna nya brist för att byta in skadlig kod på exakt rätt plats i Edges körminne så att koden ersätter godartad kod som Edge ACG -process var på väg att köra.
"En angripare skulle först behöva utnyttja en separat sårbarhet för att få vissa funktioner i Edge -innehållsprocessen (till exempel förmågan att läsa och skriva godtyckliga minnesplatser)", skrev Fratric, "varefter de kunde använda denna sårbarhet för att få ytterligare funktioner (nämligen möjligheten att köra godtycklig maskinkod). "
Den dåliga nyheten är att steg ett förmodligen är inom räckhåll för skickliga hackare och korrekt utformad skadlig kod. Fratrics ursprungliga blogginlägg, nu tillgängligt för alla att se, visar dig exakt hur du går vidare till steg två. Du kan satsa på att de onda jobbar med att implementera Fratric's proof-of-concept exploit innan fixen är klar 13 mars.
Fratric är planerad att förklara ännu mer om hur allt detta fungerar den 27 april vid infiltreringskonferensen i Miami Beach.
Bildkredit: T.Dallas/Shutterstock
- Hur du ökar din integritet i Microsoft Edge
- Meltdown and Specter: Hur du skyddar din PC, Mac och telefon
- De bästa Windows 10 -teman (och hur man laddar ner dem)