- Вече е налице корекция за защита за ескалация на привилегии в Edge
- Edge версия 83.0.478.37. съдържа тази актуализация.
- ПосететеНовинистраница, за да научите повече за софтуерните корекции и подобрения от Microsoft.
- Не забравяйте да разгледате нашитеMicrosoft Edgeраздел за актуализации за браузъра, базиран на Chromium.
Microsoft се отнася сериозно към сигурността и поверителността на Edge, което е необходимо, за да има шанс да достигнете нивата на Chrome и Firefox. За тази цел технологичният гигант изпрати поправка за ескалация на уязвимостта на привилегиите в своя браузър, базиран на Chromium.
Пачът за защита е част от актуализацията на Edge 83.0.478.37, която в момента се пуска в стабилния канал. Актуализациите, които не са свързани със сигурността, включват функции като автоматично превключване на профила.
Ескалация на уязвимостта на привилегиите
Microsoft нарича въпросния риск за сигурността CVE-2020-1195. Експозицията произтича от тенденцията на разширението Feedback в Edge да проверява неправилно въведеното.
Следователно, ако нападателят успее да се възползва от вратичката, той може да премести файлове на произволни места в паметта. Правейки това, би могло да даде по-висок хакер система привилегии.
Уязвимост на повишаване на привилегиите съществува в Microsoft Edge (базиран на Chromium), когато разширението Feedback неправилно потвърждава въведеното. Атакуващият, който успешно е използвал тази уязвимост, може да пише файлове на произволни места и да получи повишени привилегии. Тази уязвимост може да се използва заедно с една или повече уязвимости (например дистанционно изпълнение на код уязвимост и друго повишаване на привилегията уязвимост), за да се възползвате от повишените привилегии, когато бягане.
Microsoft присвои на уязвимостта индекс за оценка на експлоатацията 2. Това означава, че потребителите на последната версия на Edge са по-малко склонни да бъдат цел за този вид атака.
Уязвимостта на ескалацията на привилегии сама по себе си не означава, че нападателят изпълнява нелегален код. Но хакер може да го използва, за да проправи пътя за по-сериозно нарушение.
Например, след незаконно постигане на повишени привилегии, те могат да използват вратичка за дистанционно изпълнение на код (RCE). Атаката RCE от своя страна може да им позволи да откраднат данни, да шпионират или дори да организират атака за отказ на услуга.
Ескалацията на уязвимостта на привилегиите в Edge обаче не трябва да е причина за аларма. Microsoft не е получила никакви доказателства за експлоатацията си в дивата природа.
Ако имате някакви въпроси или предложения относно сигурността на Microsoft Edge, винаги можете да ги оставите в раздела за коментари по-долу.
