- Een beveiligingspatch voor een escalatie van privileges in Edge is nu beschikbaar
- Edge-versie 83.0.478.37. bevat deze update.
- Bezoek deNieuwspagina voor meer informatie over softwarefixes en verbeteringen van Microsoft.
- Vergeet niet onzeMicrosoft Edgesectie voor updates over de op Chromium gebaseerde browser.
Microsoft neemt Edge-beveiliging en privacy serieus, wat nodig is om kans te maken op het niveau van Chrome en Firefox. Met het oog daarop heeft de techgigant een oplossing geleverd voor een escalatie van privilege-kwetsbaarheid in zijn Chromium-gebaseerde browser.
De beveiligingspatch maakt deel uit van de Edge-update 83.0.478.37 die momenteel wordt uitgerold in het stabiele kanaal. De niet-beveiligingsupdates bevatten functies zoals: automatisch wisselen van profiel.
Escalatie van privilege kwetsbaarheid
Microsoft noemt het beveiligingsrisico in kwestie CVE-2020-1195. De blootstelling komt voort uit de neiging van de Feedback-extensie in Edge om invoer onjuist te valideren.
Daarom, als een aanvaller erin slaagde te profiteren van de maas in de wet, zou hij bestanden naar willekeurige geheugenlocaties kunnen verplaatsen. Als je dat doet, kan de hacker ook hoger worden
systeem voorrechten.Er bestaat een beveiligingslek met betrekking tot misbruik van bevoegdheden in Microsoft Edge (gebaseerd op Chrome) wanneer de Feedback-extensie invoer onjuist valideert. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan bestanden naar willekeurige locaties schrijven en verhoogde bevoegdheden krijgen. Dit beveiligingslek kan worden gebruikt in combinatie met een of meer kwetsbaarheden (bijvoorbeeld het uitvoeren van externe code) kwetsbaarheid en een andere kwetsbaarheid voor misbruik van bevoegdheden) om te profiteren van de verhoogde bevoegdheden wanneer: rennen.
Microsoft heeft de kwetsbaarheid een exploitatiebeoordelingsindex van 2 toegekend. Het betekent dat gebruikers van de nieuwste versie van Edge minder snel het doelwit zijn van dit soort aanvallen.
De escalatie van de privileges-kwetsbaarheid op zich betekent niet dat een aanvaller illegale code uitvoert. Maar een hacker kan het gebruiken om de weg vrij te maken voor een ernstiger inbreuk.
Nadat ze bijvoorbeeld illegaal verhoogde privileges hebben verkregen, kunnen ze misbruik maken van een maas in de uitvoering van externe code (RCE). Met een RCE-aanval kunnen ze op hun beurt gegevens stelen, spioneren of zelfs een denial-of-service-aanval uitvoeren.
De escalatie van de kwetsbaarheid van bevoegdheden in Edge zou echter geen reden tot ongerustheid moeten zijn. Microsoft heeft geen enkel bewijs ontvangen van de exploitatie ervan in het wild.
Als u vragen of suggesties heeft met betrekking tot Microsoft Edge-beveiliging, kunt u deze altijd achterlaten in de opmerkingen hieronder.
