- Um patch de segurança para uma ameaça de escalonamento de privilégios no Edge já está disponível
- Versão Edge 83.0.478.37. contém esta atualização.
- Visite aNotíciaspágina para saber mais sobre as correções e melhorias de software da Microsoft.
- Não se esqueça de conferir nossoMicrosoft bordaseção para atualizações sobre o navegador baseado em Chromium.
A Microsoft leva a segurança e privacidade do Edge a sério, o que é necessário para ter uma chance de alcançar os níveis do Chrome e do Firefox. Para esse fim, a gigante da tecnologia lançou uma correção para uma escalada de vulnerabilidade de privilégio em seu navegador baseado em Chromium.
O patch de segurança faz parte da atualização do Edge 83.0.478.37 que está sendo implementada no canal Stable. As atualizações não relacionadas à segurança incluem recursos como troca automática de perfil.
Vulnerabilidade de escalonamento de privilégio
A Microsoft chama o risco de segurança em questão CVE-2020-1195. A exposição decorre da tendência da extensão de Feedback no Edge para validar incorretamente a entrada.
Portanto, se um invasor conseguisse tirar vantagem da brecha, ele poderia mover arquivos para locais de memória arbitrários. Fazer isso também pode dar ao hacker maior sistema privilégios.
Existe uma vulnerabilidade de elevação de privilégio no Microsoft Edge (baseado em Chromium) quando a extensão Feedback valida a entrada de maneira incorreta. Um invasor que explorar com êxito esta vulnerabilidade pode gravar arquivos em locais arbitrários e obter privilégios elevados. Esta vulnerabilidade pode ser usada em conjunto com uma ou mais vulnerabilidades (por exemplo, uma execução remota de código vulnerabilidade e outra vulnerabilidade de elevação de privilégio) para aproveitar os privilégios elevados quando corrida.
A Microsoft atribuiu à vulnerabilidade um índice de avaliação de exploração de 2. Isso significa que os usuários da versão mais recente do Edge têm menos probabilidade de ser um alvo para esse tipo de ataque.
A vulnerabilidade de escalada de privilégios, por si só, não significa que um invasor execute código ilegal. Mas um hacker pode usá-lo para abrir caminho para uma violação mais séria.
Por exemplo, depois de obter ilegalmente privilégios elevados, eles podem explorar uma brecha de execução remota de código (RCE). Um ataque RCE poderia, por sua vez, permitir que eles roubassem dados, espionassem ou até mesmo encenassem um ataque de negação de serviço.
No entanto, a escalada da vulnerabilidade de privilégio no Edge não deve ser motivo de alarme. A Microsoft não recebeu nenhuma evidência de sua exploração na natureza.
Se você tiver dúvidas ou sugestões sobre a segurança do Microsoft Edge, pode sempre deixá-las na seção de comentários abaixo.
