- Tagad Edge ir pieejams drošības plāksteris privilēģiju draudu eskalācijai
- Edge versija 83.0.478.37. satur šo atjauninājumu.
- ApmeklējietJaunumilapā, lai uzzinātu vairāk par programmatūras labojumiem un uzlabojumiem no Microsoft.
- Neaizmirstiet apskatīt mūsuMicrosoft Edgesadaļā par pārlūka Chromium atjauninājumiem.
Korporācija Microsoft nopietni uztver Edge drošību un privātumu, kas ir nepieciešams, lai panāktu iespēju sasniegt Chrome un Firefox līmeni. Šajā nolūkā tehnoloģiju gigants savā Chromium balstītajā pārlūkprogrammā nosūtīja labojumu privilēģiju ievainojamības eskalācijai.
Drošības ielāps ir daļa no Edge atjauninājuma 83.0.478.37, kas pašlaik tiek palaists kanālā Stable. Ar drošību nesaistītie atjauninājumi ietver tādas funkcijas kā automātiska profila maiņa.
Privilēģiju neaizsargātības eskalācija
Korporācija Microsoft izsauc attiecīgo drošības risku CVE-2020-1195. Ekspozīcija izriet no atgriezeniskās saites paplašinājuma Edge tendences nepareizi validēt ievadi.
Tāpēc, ja uzbrucējam izdevās izmantot nepilnības, viņi varēja pārvietot failus uz patvaļīgām atmiņas vietām. To darot, hakeris varētu arī kļūt augstāks
sistēmā privilēģijas.Ja atgriezeniskās saites paplašinājums nepareizi apstiprina ievadi, Microsoft Edge (balstīts uz Chromium) pastāv privilēģiju paaugstināta līmeņa ievainojamība. Uzbrucējs, kurš veiksmīgi izmantoja šo ievainojamību, varēja ierakstīt failus patvaļīgās vietās un iegūt paaugstinātas privilēģijas. Šo ievainojamību varētu izmantot kopā ar vienu vai vairākām ievainojamībām (piemēram, koda attālā izpilde ievainojamība un vēl viena paaugstināta privilēģiju ievainojamība), lai izmantotu paaugstinātās privilēģijas, kad skriešana.
Microsoft ievainojamībai piešķīra ekspluatācijas novērtējuma indeksu 2. Tas nozīmē, ka jaunākās Edge versijas lietotāji, visticamāk, nav šāda veida uzbrukuma mērķi.
Privilēģiju neaizsargātības eskalācija pati par sevi nenozīmē, ka uzbrucējs izpilda nelegālu kodu. Bet hakeris to var izmantot, lai pavērtu ceļu nopietnākam pārkāpumam.
Piemēram, pēc nelikumīgas paaugstinātu privilēģiju iegūšanas viņi varēja izmantot koda attālās izpildes (RCE) nepilnību. Savukārt RCE uzbrukums viņiem varētu ļaut nozagt datus, spiegot vai pat sarīkot uzbrukuma atteikumu.
Tomēr privilēģiju neaizsargātības eskalācijai Edge nevajadzētu būt par iemeslu trauksmei. Korporācija Microsoft nav saņēmusi pierādījumus par tās izmantošanu savvaļā.
Ja jums ir kādi jautājumi vai ieteikumi par Microsoft Edge drošību, tos vienmēr varat atstāt komentāru sadaļā.
