- Edge privileegide ohu eskaleerumise turvapaik on nüüd saadaval
- Edge versioon 83.0.478.37. sisaldab seda värskendust.
- Külastage veebisaitiUudisedlehel, et saada lisateavet Microsofti tarkvaraparanduste ja täiustuste kohta.
- Ärge unustage meie lehte vaadataMicrosoft Edgejaotises värskendused Chromiumi põhise brauseri kohta.
Microsoft võtab Edge'i turvalisust ja privaatsust tõsiselt, mis on vajalik Chrome'i ja Firefoxi tasemele jõudmiseks. Selle eesmärgi saavutamiseks saatis tehnoloogiagigant oma Chromiumi põhises brauseris privileegide haavatavuse eskaleerumise paranduse.
Turvapaik on osa Edge'i värskendusest 83.0.478.37, mis on praegu stabiilses kanalis kasutusel. Turvavälised värskendused sisaldavad selliseid funktsioone nagu automaatne profiili vahetamine.
Privileegide haavatavuse eskaleerumine
Microsoft nimetab kõnealust turvariski CVE-2020-1195. Säritus tuleneb Edge'i tagasiside laiendi kalduvusest sisendit valesti kinnitada.
Seega, kui ründajal õnnestus lünka ära kasutada, võivad nad failid suvalistesse mälupaikadesse teisaldada. See võib häkkerile ka kõrgemale tõusta
süsteemi privileegid.Kui tagasiside laiendus valesti sisendit valesti kinnitab, on Microsoft Edge'is (Chromiumil põhinev) privileegide kõrgem nõrk koht. Selle haavatavuse edukalt ära kasutanud ründaja võib kirjutada faile suvalistesse asukohtadesse ja saada kõrgemaid õigusi. Seda haavatavust saab kasutada koos ühe või mitme haavatavusega (näiteks koodi kaugkäivitamine) haavatavus ja veel üks privileegide haavatavus), et kasutada kõrgendatud õigusi jooksmine.
Microsoft määras haavatavuse kasutamise hindamise indeksiks 2. See tähendab, et Edge uusima versiooni kasutajad on vähem sellise rünnaku sihtmärgid.
Privileegide haavatavuse eskaleerumine iseenesest ei tähenda ründaja ebaseadusliku koodi käivitamist. Kuid häkker saab seda kasutada, et sillutada teed tõsisemale rikkumisele.
Näiteks võivad nad pärast ebaseaduslikult kõrgendatud õiguste saamist ära kasutada kaugkoodi täitmise (RCE) lünka. RCE rünnak võib omakorda lubada neil andmeid varastada, luurata või koguni teenuse keelamise rünnakut korraldada.
Edge'i privileegide haavatavuse eskaleerumine ei tohiks siiski põhjustada ärevust. Microsoft ei ole saanud ühtegi tõendit oma looduses ekspluateerimise kohta.
Kui teil on Microsoft Edge'i turvalisuse kohta küsimusi või ettepanekuid, võite need alati jätta allpool olevasse kommentaaride jaotisesse.