- Edgeでの権限昇格の脅威に対するセキュリティパッチが利用可能になりました
- エッジバージョン 83.0.478.37. このアップデートが含まれています。
- 訪問ニュースマイクロソフトによるソフトウェアの修正と改善について詳しくは、このページをご覧ください。
- 私たちのチェックを忘れないでくださいマイクロソフトエッジChromiumベースのブラウザに関する最新情報のセクション。
Microsoftは、Edgeのセキュリティとプライバシーを真剣に受け止めています。これは、ChromeとFirefoxのレベルに追いつくチャンスを得るのに必要です。 そのために、この技術大手は、Chromiumベースのブラウザでの特権の昇格の脆弱性に対する修正を出荷しました。
セキュリティパッチは、現在Stableチャネルで展開されているEdgeアップデート83.0.478.37の一部です。 非セキュリティアップデートには、次のような機能が含まれています 自動プロファイル切り替え.
特権の脆弱性の昇格
マイクロソフトは、問題のセキュリティリスクをCVE-2020-1195と呼んでいます。 露出は、Edgeのフィードバック拡張機能が入力を誤って検証する傾向に起因します。
したがって、攻撃者が抜け穴を利用することに成功した場合、攻撃者はファイルを任意のメモリ位置に移動する可能性があります。 そうすることで、ハッカーをより高くすることもできます システム 特権。
フィードバック拡張機能が入力を不適切に検証すると、Microsoft Edge(Chromiumベース)に特権の昇格の脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、任意の場所にファイルを書き込み、昇格された特権を取得する可能性があります。 この脆弱性は、1つ以上の脆弱性(リモートコード実行など)と組み合わせて使用される可能性があります。 脆弱性および特権の別の昇格の脆弱性)昇格された特権を利用する場合 ランニング。
マイクロソフトは、この脆弱性に悪用評価インデックス2を割り当てました。 これは、最新バージョンのEdgeのユーザーがこの種の攻撃の標的になる可能性が低いことを意味します。
特権の昇格の脆弱性自体は、攻撃者が違法なコードを実行することにはなりません。 しかし、ハッカーはそれを使用して、より深刻な違反への道を開くことができます。
たとえば、不正に昇格された特権を取得した後、リモートコード実行(RCE)の抜け穴を悪用する可能性があります。 RCE攻撃により、データを盗んだり、スパイしたり、サービス拒否攻撃を仕掛けたりする可能性があります。
ただし、Edgeでの特権の脆弱性の昇格は、警告の原因にはなりません。 マイクロソフトは、実際に悪用されたという証拠を受け取っていません。
Microsoft Edgeのセキュリティに関して質問や提案がある場合は、いつでも下のコメントセクションに残すことができます。
