- Teraz je k dispozícii bezpečnostná oprava pre hrozbu stupňovania privilégií v Edge
- Verzia Edge 83.0.478.37. obsahuje túto aktualizáciu.
- NavštíviťNovinkystránke, kde sa dozviete viac o opravách a vylepšeniach softvéru od spoločnosti Microsoft.
- Nezabudnite sa pozrieť na našeMicrosoft Edgev časti s aktualizáciami o prehliadači založenom na chróme.
Spoločnosť Microsoft berie bezpečnosť a ochranu súkromia Edge vážne, čo je nevyhnutné, aby sme mali šancu uchytiť sa na úrovniach Chrome a Firefox. Za týmto účelom priniesol technologický gigant opravu eskalácie zraniteľnosti privilégií vo svojom prehliadači založenom na chróme.
Oprava zabezpečenia je súčasťou aktualizácie Edge 83.0.478.37, ktorá sa momentálne zavádza v stabilnom kanáli. Medzi nezabezpečené aktualizácie patria napríklad funkcie automatické prepínanie profilov.
Stupňovanie zraniteľnosti privilégií
Spoločnosť Microsoft nazýva príslušné bezpečnostné riziko CVE-2020-1195. Expozícia vyplýva z tendencie rozšírenia Spätná väzba v Edge k nesprávnemu overeniu vstupu.
Ak sa teda útočníkovi podarilo využiť medzeru, mohol by súbory presunúť na ľubovoľné pamäťové miesta. To by tiež mohlo hackerovi dať vyššiu úroveň systém privilégiá.
Keď rozšírenie Feedback nesprávne overí vstup, v aplikácii Microsoft Edge (na základe chrómu) existuje chyba zabezpečenia so zvýšeným oprávnením. Útočník, ktorý úspešne zneužije túto chybu, by mohol zapisovať súbory na ľubovoľné miesta a získať zvýšené oprávnenia. Túto chybu zabezpečenia je možné použiť v spojení s jednou alebo viacerými chybami zabezpečenia (napríklad vzdialeným spustením kódu) zraniteľnosť a ďalšie zvýšenie zraniteľnosti privilégií) využiť výhody zvýšených privilégií, keď bežiaci.
Spoločnosť Microsoft priradila tejto zraniteľnosti index hodnotenia vyťaženia vo výške 2. Znamená to, že je nepravdepodobné, že by používatelia najnovšej verzie Edge boli terčom tohto druhu útoku.
Zvyšovanie zraniteľnosti privilégií samo osebe neznamená, že by útočník vykonával nelegálny kód. Hacker ho však môže použiť na prípravu cesty k vážnejšiemu porušeniu.
Napríklad po nelegálnom získaní zvýšených privilégií môžu zneužiť medzeru na vzdialené vykonávanie kódu (RCE). Útok RCE by im zase mohol umožniť ukradnúť dáta, špehovať alebo dokonca zinscenovať útok odmietnutia služby.
Zvyšovanie zraniteľnosti privilégií v Edge by však nemalo byť dôvodom na poplach. Microsoft nedostal žiadne dôkazy o svojom vykorisťovaní vo voľnej prírode.
Ak máte akékoľvek otázky alebo návrhy týkajúce sa zabezpečenia aplikácie Microsoft Edge, môžete ich kedykoľvek zanechať v sekcii komentárov nižšie.
