Friendoffriends
Společnost Microsoft bere zabezpečení a ochranu osobních údajů Edge vážně, což je nezbytné, abychom měli šanci chytit se na úrovních Chrome a Firefox. Za tímto účelem technický gigant vydal opravu eskalace zranitelnosti privilegií v prohlížeči založeném na chromu.
Oprava zabezpečení je součástí aktualizace Edge 83.0.478.37, která se aktuálně vydává ve stabilním kanálu. Mezi aktualizace, které nejsou zabezpečeny, patří funkce, jako je automatické přepínání profilů.
Eskalace zranitelnosti oprávnění
Společnost Microsoft nazývá dotyčné bezpečnostní riziko CVE-2020-1195. Expozice vychází z tendence rozšíření Feedback v Edge k nesprávnému ověření vstupu.
Pokud se tedy útočníkovi podařilo využít mezeru, mohl by přesunout soubory na libovolná místa v paměti. To by také mohlo hackerovi poskytnout vyšší systémová oprávnění.
Pokud rozšíření Feedback nesprávně ověří vstup, v aplikaci Microsoft Edge (na bázi chromu) existuje chyba zabezpečení se zvýšeným oprávněním. Útočník, který úspěšně zneužije tuto chybu zabezpečení, může zapisovat soubory na libovolná místa a získat zvýšená oprávnění. Tuto chybu zabezpečení lze použít ve spojení s jednou nebo více chybami zabezpečení (například chybou zabezpečení vzdáleného spuštění kódu a jiným zvýšením zranitelnosti oprávnění), aby bylo možné využít zvýšených oprávnění při spuštění.
Společnost Microsoft přidělila zranitelnosti index hodnocení vykořisťování 2. To znamená, že uživatelé nejnovější verze Edge jsou méně pravděpodobné, že budou terčem tohoto druhu útoku.
Eskalace zranitelnosti oprávnění sama o sobě nepředstavuje útok útočníka provádějícího nelegální kód. Ale hacker to může použít k přípravě cesty k vážnějšímu porušení.
Například po nelegálním získání zvýšených oprávnění by mohli zneužít mezeru ve vzdáleném provádění kódu (RCE). Útok RCE by jim zase mohl umožnit ukrást data, špehovat nebo dokonce zinscenovat útok odmítnutí služby.
Eskalace zranitelnosti oprávnění v Edge by však neměla být důvodem k poplachu. Microsoft neobdržel žádné důkazy o svém vykořisťování ve volné přírodě.
Pokud máte jakékoli dotazy nebo návrhy týkající se zabezpečení Microsoft Edge, můžete je kdykoli zanechat v sekci komentářů níže.
- Kybernetická bezpečnost
- Průvodci Microsoft Edge
![Všechny problémy opravené kumulativní aktualizací Windows Update [květen 2014]](https://friend-of-friends.com/storage/img/images/all-the-issues-fixed-by-windows-update-rollup-[may-2014].jpg)