Google'ın Project Zero takımı, Microsoft'un yazılımlarındaki güvenlik açıklarını bir süredir tarıyor ve Microsoft'a bu konuda yardımcı olmaya çalışıyor. Project Zero, Kasım 2016'da Windows 10'da "oldukça ciddi" bir açık bulmuş, Microsoft'tan beklediği geri bildirimi almadığı için 10 gün içinde açığı halka açıklamıştı. Ekip, benzer şekilde Şubat'ta da Windows 10'da bir açık keşfetmişti.
Google'ın Project Zero'su, bu sefer Windows 10'un web tarayıcısı Edge'de ve Internet Explorer'da bir açık keşfetti. Yeni ortaya çıkan bu açık IE'yi de kapsadığından, sadece Windows 10'u değil, önceki Windows sürümlerini de etkiliyor. The Register'ın raporuna göre bu web tarayıcılarındaki açık, Microsoft'a 25 Kasım 2016 tarihinde bildirildi. Google, standart 90 günlük yama geliştirme süresini bekledikten sonra dün, açığı herkese açıkladı. Bu süre içinde Microsoft'un açığı kapayamadığı veya kapamadığı anlaşılıyor.
Açık, 17 satırlık bir HTML kodunun bu web tarayıcılarını çökertmesine neden olabiliyor. Bu durumda saldıran, istediği kodu uzaktan kurbanın bilgisayarı üzerinde çalıştırabiliyor. Saldırı, kaynak kodlarındaki "rcx" ve "rax" adlı değişkenlere odaklanıyor ve Project Zero araştırma ekibine göre saldırganın rax değişkenini değiştirip (bunun için bir tablonun özelliklerini değiştirmek yeterli), kontrol etmek istediği belleği işaret etmesi yeterli oluyor.
Açık hakkında Microsoft tarafından henüz herhangi bir açıklama yapılmadığı gibi, açığın bu ayın Salı yamalarıyla kapatılıp kapatılmadığı da bilinmiyor. Google'ın raporunun detaylarına buradan göz atabilirsiniz.