Firma Microsoft poważnie traktuje bezpieczeństwo i prywatność Edge, co jest niezbędne, aby mieć szansę na opanowanie poziomów Chrome i Firefox. W tym celu gigant technologiczny dostarczył poprawkę dotyczącą eskalacji luki w zabezpieczeniach przeglądarki opartej na Chromium.
Poprawka zabezpieczeń jest częścią aktualizacji Edge 83.0.478.37, która jest obecnie wprowadzana w kanale stabilnym. Aktualizacje niezwiązane z zabezpieczeniami obejmują funkcje, takie jak automatyczne przełączanie profili.
Eskalacja luki w zabezpieczeniach uprawnień
Firma Microsoft nazywa omawiane zagrożenie bezpieczeństwa CVE-2020-1195. Narażenie wynika z tendencji rozszerzenia Feedback w Edge do nieprawidłowego sprawdzania poprawności danych wejściowych.
Dlatego jeśli atakujący zdołałby wykorzystać lukę, mógłby przenieść pliki do dowolnych lokalizacji pamięci. Może to również dać hakerowi wyższe uprawnienia systemowe.
W Microsoft Edge (opartym na Chromium) występuje luka w zabezpieczeniach umożliwiająca podniesienie uprawnień, gdy rozszerzenie Feedback nieprawidłowo sprawdza poprawność danych wejściowych. Osoba atakująca, której uda się wykorzystać tę lukę, może zapisywać pliki w dowolnych lokalizacjach i uzyskać podwyższone uprawnienia. Tę lukę można wykorzystać w połączeniu z co najmniej jedną luką w zabezpieczeniach (na przykład usterką umożliwiającą zdalne wykonanie kodu i inną luką umożliwiającą podniesienie uprawnień) w celu wykorzystania podwyższonych uprawnień podczas uruchamiania.
Microsoft przypisał luce indeks oceny wykorzystania równy 2. Oznacza to, że użytkownicy najnowszej wersji Edge rzadziej będą celem tego rodzaju ataku.
Eskalacja luki w zabezpieczeniach uprawnień sama w sobie nie oznacza, że osoba atakująca wykonuje nielegalny kod. Ale haker może go użyć, aby utorować drogę do poważniejszego naruszenia.
Na przykład, po nielegalnym uzyskaniu podwyższonych uprawnień, mogą wykorzystać lukę w zdalnym wykonaniu kodu (RCE). Atak RCE może z kolei pozwolić im na kradzież danych, szpiegowanie, a nawet przeprowadzenie ataku typu „odmowa usługi”.
Jednak eskalacja luki w zabezpieczeniach w Edge nie powinna być powodem do niepokoju. Firma Microsoft nie otrzymała żadnych dowodów jej wykorzystywania na wolności.
Jeśli masz jakieś pytania lub sugestie dotyczące bezpieczeństwa Microsoft Edge, zawsze możesz je zostawić w sekcji komentarzy poniżej.
- Bezpieczeństwo cybernetyczne
- Przewodniki po Microsoft Edge