- Dostępna jest już łatka bezpieczeństwa eskalacji zagrożeń związanych z uprawnieniami w Edge
- Wersja krawędzi 83.0.478.37. zawiera tę aktualizację.
- OdwiedzićAktualnościAby dowiedzieć się więcej o poprawkach i ulepszeniach oprogramowania firmy Microsoft.
- Nie zapomnij sprawdzić naszegoMicrosoft Edgesekcja zawierająca aktualizacje dotyczące przeglądarki opartej na Chromium.
Microsoft poważnie traktuje bezpieczeństwo Edge i prywatność, co jest niezbędne, aby mieć szansę na dotarcie do poziomów Chrome i Firefox. W tym celu gigant technologiczny wysłał poprawkę dotyczącą eskalacji luki w przywilejach w swojej przeglądarce opartej na Chromium.
Poprawka bezpieczeństwa jest częścią aktualizacji Edge 83.0.478.37, która jest obecnie wprowadzana w kanale stabilnym. Aktualizacje niezwiązane z zabezpieczeniami obejmują funkcje takie jak automatyczne przełączanie profili.
Eskalacja luki w uprawnieniach
Microsoft kwestionuje zagrożenie bezpieczeństwa CVE-2020-1195. Ekspozycja wynika z tendencji rozszerzenia sprzężenia zwrotnego w Edge do nieprawidłowej weryfikacji danych wejściowych.
Dlatego, jeśli atakujący zdołał wykorzystać lukę, mógłby przenieść pliki do dowolnych lokalizacji w pamięci. Może to również dać hakerowi wyższe system przywileje.
W przeglądarce Microsoft Edge (opartej na Chromium) występuje luka umożliwiająca podniesienie uprawnień, która występuje, gdy rozszerzenie Feedback nieprawidłowo sprawdza poprawność danych wejściowych. Osoba atakująca, której uda się wykorzystać tę lukę, może zapisywać pliki w dowolnych lokalizacjach i uzyskiwać podwyższone uprawnienia. Ta luka może zostać wykorzystana w połączeniu z co najmniej jedną luką (na przykład zdalne wykonanie kodu podatność i inna podatność na podniesienie uprawnień), aby skorzystać z podwyższonych uprawnień, gdy bieganie.
Firma Microsoft przypisała luki wskaźnik oceny wykorzystania wynoszący 2. Oznacza to, że użytkownicy najnowszej wersji Edge'a rzadziej będą celem tego rodzaju ataku.
Podatność na eskalację uprawnień sama w sobie nie oznacza, że atakujący wykonuje nielegalny kod. Ale haker może go użyć, aby utorować drogę do poważniejszego naruszenia.
Na przykład po nielegalnym uzyskaniu podwyższonych uprawnień mogą wykorzystać lukę w zdalnym wykonaniu kodu (RCE). Atak RCE może z kolei umożliwić im kradzież danych, szpiegowanie, a nawet przeprowadzenie ataku typu „odmowa usługi”.
Jednak eskalacja podatności na przywileje w Edge nie powinna być powodem do niepokoju. Microsoft nie otrzymał żadnych dowodów na jego eksploatację na wolności.
Jeśli masz jakieś pytania lub sugestie dotyczące bezpieczeństwa Microsoft Edge, zawsze możesz je zostawić w sekcji komentarzy poniżej.
