Microsoft ia în serios securitatea și confidențialitatea Edge, ceea ce este necesar pentru a avea șansa de a ajunge la nivelurile Chrome și Firefox. În acest scop, gigantul tehnologic a livrat o soluție pentru o escaladare a vulnerabilității privilegiilor în browserul său bazat pe Chromium.
Patch-ul de securitate face parte din actualizarea Edge 83.0.478.37 care se desfășoară în prezent în canalul Stable. Actualizările fără securitate includ funcții precum comutarea automată a profilului.
Escalarea vulnerabilității privilegiilor
Microsoft numește riscul de securitate în cauză CVE-2020-1195. Expunerea provine din tendința extensiei Feedback din Edge de a valida incorect intrarea.
Prin urmare, dacă un atacator a reușit să profite de lacuna, ar putea muta fișiere în locații de memorie arbitrare. Acest lucru ar putea conferi hackerului privilegii mai mari de sistem.
Există o creștere a vulnerabilității privilegiului în Microsoft Edge (bazat pe Chromium) atunci când extensia Feedback validează incorect intrarea. Un atacator care a exploatat cu succes această vulnerabilitate ar putea scrie fișiere în locații arbitrare și să obțină privilegii ridicate. Această vulnerabilitate ar putea fi utilizată împreună cu una sau mai multe vulnerabilități (de exemplu, o vulnerabilitate de execuție de cod la distanță și o altă vulnerabilitate de privilegiu) pentru a profita de privilegiile ridicate atunci când rulează.
Microsoft a atribuit vulnerabilității un indice de evaluare a exploatării de 2. Înseamnă că utilizatorii celei mai recente versiuni de Edge sunt mai puțin susceptibili să fie o țintă pentru acest tip de atac.
Vulnerabilitatea escaladării privilegiilor, în sine, nu înseamnă că un atacator execută cod ilegal. Dar un hacker îl poate folosi pentru a deschide calea pentru o încălcare mai gravă.
De exemplu, după ce au obținut ilegal privilegii ridicate, ar putea exploata o lacună de execuție de cod la distanță (RCE). Un atac RCE le-ar putea permite, la rândul său, să fure date, să spioneze sau chiar să organizeze un atac de refuz de serviciu.
Cu toate acestea, escaladarea vulnerabilității privilegiilor în Edge nu ar trebui să fie un motiv de alarmă. Microsoft nu a primit nicio dovadă a exploatării sale în natură.
Dacă aveți întrebări sau sugestii cu privire la securitatea Microsoft Edge, le puteți lăsa întotdeauna în secțiunea de comentarii de mai jos.
- Securitate cibernetică
- Ghiduri Microsoft Edge