Le temps imparti est écoulé, et Project Zero de Google est sans pitié comme par le passé. Fidèle à sa politique de divulgation après avoir alerté un éditeur concerné, l'équipe de hackers d'élite de Google publie les détails d'une vulnérabilité de sécurité non corrigée affectant le navigateur Microsoft Edge.
La faille en question n'est pas jugée critique. Son exploitation permet de contourner une fonctionnalité de sécurité Arbitrary Code Guard (ACG) introduite dans Microsoft Edge lors de la sortie de Windows 10 Creators Update.
ACG contribue à la protection contre le chargement de code malveillant en mémoire. Avec son activation, le noyau Windows empêche un processus de contenu de créer et modifier des pages de code en mémoire.
Pour l'implémentation d'ACG, Microsoft Edge utilise un processus séparé pour la compilation à la volée (JavaScript en code natif). Ce processus séparé est également responsable du mappage du code natif dans le processus de contenu.
Le problème mis au jour met en lumière la possibilité pour un processus de contenu compromis de prédire l'adresse allouée par le compilateur à la volée. Le correctif attendra le 13 mars, jour du prochain Patch Tuesday de Microsoft.
