- Виправлення безпеки для ескалації загрози привілеїв у Edge тепер доступне
- Крайова версія 83.0.478.37. містить це оновлення.
- ВідвідайтеНовинина цій сторінці, щоб дізнатись більше про виправлення та вдосконалення програмного забезпечення від Microsoft.
- Не забудьте перевірити нашMicrosoft Edgeрозділ для оновлень про браузер на базі Chromium.
Microsoft серйозно ставиться до безпеки та конфіденційності Edge, що є необхідним, щоб отримати шанс досягти рівня Chrome і Firefox. З цією метою технічний гігант надіслав виправлення для ескалації вразливості привілеїв у своєму браузері на основі Chromium.
Виправлення безпеки є частиною оновлення Edge 83.0.478.37, яке наразі запускається у стабільному каналі. Оновлення, що не стосуються безпеки, включають такі функції, як автоматичне перемикання профілю.
Ескалація вразливості привілеїв
Корпорація Майкрософт називає загрозу безпеці CVE-2020-1195. Експозиція випливає із тенденції розширення Feedback у Edge неправильно перевіряти введення.
Тому, якщо зловмисникові вдалося скористатися лазівкою, він міг перемістити файли у довільні місця пам'яті. Це також може підвищити рівень хакера
система привілеї.У Microsoft Edge (на основі Chromium) існує вразливість привілеїв, коли розширення Feedback неправильно перевіряє введені дані. Зловмисник, який успішно використав цю вразливість, міг писати файли у довільних місцях і отримувати підвищені привілеї. Цю вразливість можна використовувати разом з однією або кількома уразливостями (наприклад, віддалене виконання коду вразливість та чергове підвищення вразливості привілеїв), щоб скористатися підвищеними привілеями, коли біг.
Microsoft призначила вразливості індекс оцінки експлуатації 2. Це означає, що користувачі останньої версії Edge рідше стають мішенню для такого роду атак.
Вразливість ескалації привілеїв сама по собі не означає зловмисника, який виконує незаконний код. Але хакер може використати це, щоб прокласти шлях до більш серйозних порушень.
Наприклад, після незаконного отримання підвищених привілеїв вони можуть скористатися лазівкою віддаленого виконання коду (RCE). Атака RCE, у свою чергу, може дозволити їм красти дані, шпигувати або навіть інсценувати атаку відмови в обслуговуванні.
Однак ескалація вразливості привілеїв у Edge не повинна бути причиною для тривоги. Корпорація Майкрософт не отримала жодних доказів її експлуатації в природі.
Якщо у вас є будь-які запитання чи пропозиції щодо безпеки Microsoft Edge, ви завжди можете залишити їх у розділі коментарів нижче.
