Microsoft prende sul serio la sicurezza e la privacy di Edge, che è necessaria per avere la possibilità di raggiungere i livelli di Chrome e Firefox. A tal fine, il gigante della tecnologia ha fornito una correzione per un'escalation di vulnerabilità dei privilegi nel suo browser basato su Chromium.
La patch di sicurezza fa parte dell'aggiornamento Edge 83.0.478.37 attualmente in fase di implementazione nel canale stabile. Gli aggiornamenti non relativi alla sicurezza includono funzionalità come il cambio automatico del profilo.
Escalation della vulnerabilità dei privilegi
Microsoft chiama il rischio per la sicurezza in questione CVE-2020-1195. L'esposizione deriva dalla tendenza dell'estensione Feedback in Edge a convalidare in modo errato l'input.
Pertanto, se un utente malintenzionato riuscisse a sfruttare la scappatoia, potrebbe spostare i file in posizioni di memoria arbitrarie. Ciò potrebbe anche dare all'hacker privilegi di sistema più elevati.
Esiste una vulnerabilità legata all'acquisizione di privilegi più elevati in Microsoft Edge (basato su Chromium) quando l'estensione Feedback convalida l'input in modo errato. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe scrivere file in posizioni arbitrarie e ottenere privilegi elevati. Questa vulnerabilità potrebbe essere utilizzata insieme a una o più vulnerabilità (ad esempio una vulnerabilità di esecuzione di codice in modalità remota e un'altra vulnerabilità di elevazione dei privilegi) per sfruttare i privilegi elevati durante l'esecuzione.
Microsoft ha assegnato alla vulnerabilità un indice di valutazione dell'exploitation di 2. Significa che gli utenti dell'ultima versione di Edge hanno meno probabilità di essere un bersaglio per questo tipo di attacco.
L'escalation della vulnerabilità dei privilegi, di per sé, non equivale a un aggressore che esegue codice illegale. Ma un hacker può usarlo per aprire la strada a una violazione più grave.
Ad esempio, dopo aver ottenuto illegalmente privilegi elevati, potrebbero sfruttare una scappatoia di esecuzione di codice remoto (RCE). Un attacco RCE potrebbe a sua volta consentire loro di rubare dati, spiare o persino mettere in scena un attacco Denial of Service.
Tuttavia, l'escalation della vulnerabilità dei privilegi in Edge non dovrebbe essere motivo di allarme. Microsoft non ha ricevuto alcuna prova del suo sfruttamento in natura.
Se hai domande o suggerimenti sulla sicurezza di Microsoft Edge, puoi sempre lasciarli nella sezione commenti qui sotto.
- Cybersecurity
- Guide di Microsoft Edge