Zentrale Sicherheitsmaßnahme des Browsers kann ausgehebelt werden - Microsoft mit Update nicht fertig geworden

Das Project Zero hat eine Sicherheitslücke in Microsofts Browser Edge offengelegt - und zwar eine, die es durchaus in sich hat, lässt sich darüber doch der im Edge genutzte Exploit-Schutz komplett aushebeln. Dieser soll eigentlich dafür sorgen, dass nur offiziell signierter Code ausgeführt werden kann. Den Sicherheitsforschern ist es nun aber gelungen, über den Just-in-time-Compiler genau diese Einschränkung auszuhebeln.

Das Pikante daran: Microsoft hat bisher keinen Fix parat, die Lücke steht also weiterhin offen und macht damit Angriffe gegen Edge erheblich leichter. Die Frage, wer an dieser für die Nutzer äußerst unerfreulichen Situation die Schuld trägt, ist dabei wie gewohnt eine des eigenen Blickpunkts. Klar ist jedenfalls, dass das Project Zero Microsoft eine Fristverlängerung von 15 Tagen gewährt hat, damit ein etwaiges Update im üblichen Rhythmus der Edge-Veröffentlichungen erfolgen kann. Microsoft argumentiert hingegen, dass die Fehlerbereinigung in diesem Fall alles andere als trivial sei, und insofern längere Zeit benötige.