- Nyní je k dispozici bezpečnostní oprava pro eskalaci ohrožení oprávnění v Edge
- Verze Edge 83.0.478.37. obsahuje tuto aktualizaci.
- NavštivteZprávyNa této stránce se dozvíte více o opravách a vylepšeních softwaru od společnosti Microsoft.
- Nezapomeňte se podívat na našeMicrosoft Edgev sekci s aktualizacemi o prohlížeči založeném na chromu.
Společnost Microsoft bere zabezpečení a ochranu osobních údajů Edge vážně, což je nezbytné, abychom měli šanci chytit se na úrovních Chrome a Firefox. Za tímto účelem technický gigant do svého prohlížeče založeného na chromu dodal opravu eskalace zranitelnosti privilegií.
Oprava zabezpečení je součástí aktualizace Edge 83.0.478.37, která se aktuálně vydává ve stabilním kanálu. Mezi aktualizace, které nejsou zabezpečeny, patří funkce jako automatické přepínání profilů.
Eskalace zranitelnosti oprávnění
Společnost Microsoft nazývá dotyčné bezpečnostní riziko CVE-2020-1195. Expozice vychází z tendence rozšíření Feedback v Edge k nesprávnému ověření vstupu.
Pokud se tedy útočníkovi podařilo využít mezeru, mohl by přesunout soubory na libovolná místa v paměti. To by také mohlo hackerovi dát vyšší úroveň
Systém privilegia.Pokud rozšíření Feedback nesprávně ověří vstup, v aplikaci Microsoft Edge (na bázi chromu) existuje chyba zabezpečení se zvýšeným oprávněním. Útočník, který tuto chybu zabezpečení úspěšně zneužil, mohl zapisovat soubory na libovolná místa a získat zvýšená oprávnění. Tuto chybu zabezpečení lze použít ve spojení s jednou nebo více chybami zabezpečení (například vzdálené spuštění kódu) zranitelnost a další zvýšení úrovně zranitelnosti oprávnění), aby bylo možné využít zvýšených oprávnění, když běh.
Microsoft přiřadil zranitelnosti index hodnocení vykořisťování 2. To znamená, že uživatelé nejnovější verze Edge budou méně pravděpodobně terčem tohoto druhu útoku.
Eskalace zranitelnosti oprávnění sama o sobě nepředstavuje útok útočníka provádějícího nelegální kód. Ale hacker to může použít k přípravě cesty k vážnějšímu porušení.
Například po nelegálním získání zvýšených oprávnění mohou zneužít mezeru v provádění vzdáleného spuštění kódu (RCE). Útok RCE by jim zase mohl umožnit ukrást data, špehovat nebo dokonce zinscenovat útok odmítnutí služby.
Eskalace zranitelnosti oprávnění v Edge by však neměla být důvodem k poplachu. Microsoft neobdržel žádné důkazy o svém vykořisťování ve volné přírodě.
Pokud máte jakékoli dotazy nebo návrhy týkající se zabezpečení Microsoft Edge, můžete je kdykoli zanechat v sekci komentářů níže.
