Den 21 maj 2019 släppte Microsoft uppdateringen 1903 till Windows 10. Den uppdateringen blev en huvudvärk för Microsoft som fick rulla tillbaka uppdateringen och göra flera ändringar efter att det visat sig att uppdateringen introducerat flera nya buggar. En av dessa buggar upptäcktes först nyligen av säkerhetsforskare på Googles säkerhetsteam Project Zero.

Buggen, med trackingkoden CVE-2020-0981, en så kallad ”token security feature bypass” påverkar säkerheten i webbläsaren Google Chrome, mer specifikt den sandlådefunktion som finns i webbläsaren, och som ser till att potentiellt farliga processer i webbläsaren hålls separerade från det övriga systemet. Att exekvera främmande kod är ju närmast en definition av vad en webbläsare gör.

Problemet för utvecklarna av denna sandlådefunktion är att de i mångt och mycket är i händerna på det underliggande operativsystemet. Sandlådan blir inte säkrare än vad operativsystemet tillåter, och uppstår det fel i operativsystemet, som nu alltså uppdagats, påverkar det förstås säkerheten i sandlådan, skriver Bleeping Computer.

Den bugg som nu upptäckts av forskarna på Project Zero är redan patchad av Microsoft i och med den senaste patch-tisdagen i april. Buggen är heller inte helt enkelt att utnyttja – forskarna på Project Zero fick bygga en stack av 20 andra attacker för att tillsammans kunna se till att en process kan undfly sandlådan. CVE-2020-0981 är dock den springande punkten för att kunna komma ur sandlådan överhuvudtaget.

Läs också:
Corona väcker liv i gammalt protokoll – får ny chans i Chrome
Google täpper till tre kritiska säkerhetshål i Chrome