Dla przeglądarki Microsoft Edge nastały ostatnio ciężkie czasy. Jej baza użytkowników sięga ledwie ponad 5%, Google Project Zero ujawnił w niej luki bezpieczeństwa, a nowe rozszerzenia pojawiają się w ślimaczym tempie. Teraz twórcy mają kolejny powód do zmartwień - na tegorocznych zawodach hakerskich Pwn2Own przeglądarkę zhakowano pomyślnie najwięcej razy.
Na dziesiątej już dorocznej imprezie Pwn2Own przeglądarka Edge została z powodzeniem zaatakowana przynajmniej pięć razy w ciągu trzech dni. Większość ataków przeprowadzono exploitem na silnik Chakra JavaScript, jednak najbardziej spektakularny atak pozwolił grupie 360 Security całkowicie wyskoczyć z maszyny wirtualnej. Atak rozpoczął się od przepełnienia sterty w Edge, by poprzez wykorzystanie podatności w Windows doprowadzić do przepełnienia bufora VMWare Workstation i "ucieczki" z maszyny wirtualnej do systemu hosta. Szczegóły ataku opisaliśmy tutaj.
Jak Edge wypadł na tle konkurencyjnych przeglądarek? Safari został w pełni zhakowany trzy razy, a raz - tylko częściowo. Podjęto też dwie próby zaatakowania Firefoksa, z czego tylko jedna zakończyła się sukcesem. Najlepiej w zawodach wypadł Chrome, którego hakowano tylko raz, a ze względu na ograniczony czas podejście nie zostało ukończone. Nie jest więc jasne, czy exploit, z którym pracował zespół, okazałby się skuteczny przy większym nakładzie czasowym.
Jakie płyną z tego wnioski? Edge, pomimo wielu najwyższej klasy zabezpieczeń, posiada prawdopodobnie najwięcej znanych hakerom podatności (choć np. według styczniowego raportu ESET Edge nie miał ich wcale). Microsoft szykuje kolejne aktualizacje dla swojej przeglądarki w ramach Creators Update, dodaje kolejne warstwy zabezpieczeń do Windows 10 i oprogramowania (np. Windows Defender ATP), jednak niezałatane luki bezpieczeństwa mogą wszystkie te warstwy rozłożyć na łopatki, czego dowodzą wysiłki tegorocznego Pwn2Own.
341f31d.png)