Friendoffriends
Microsoft nimmt die Sicherheit und den Datenschutz von Edge ernst. Dies ist erforderlich, um die Chancen von Chrome und Firefox zu nutzen. Zu diesem Zweck hat der Technologieriese in seinem Chromium-basierten Browser ein Update für eine Eskalation der Sicherheitslücke bei Berechtigungen ausgeliefert.
Der Sicherheitspatch ist Teil des Edge-Updates 83.0.478.37, das derzeit im Stable-Kanal bereitgestellt wird. Die nicht sicherheitsrelevanten Updates enthalten Funktionen wie die automatische Profilumschaltung.
Eskalation der Sicherheitsanfälligkeit bezüglich Berechtigungen
Microsoft nennt das Sicherheitsrisiko in Frage CVE-2020-1195. Die Belichtung ergibt sich aus der Tendenz der Feedback-Erweiterung in Edge, Eingaben falsch zu validieren.
Wenn es einem Angreifer gelingt, die Lücke zu nutzen, kann er Dateien an beliebige Speicherorte verschieben. Dies könnte dem Hacker auch höhere Systemberechtigungen verleihen.
In Microsoft Edge (Chromium-basiert) liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, wenn die Feedback-Erweiterung die Eingabe nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Dateien an beliebige Speicherorte schreiben und erhöhte Berechtigungen erhalten. Diese Sicherheitsanfälligkeit kann in Verbindung mit einer oder mehreren Sicherheitsanfälligkeiten (z. B. einer Sicherheitsanfälligkeit bezüglich Remotecodeausführung und einer weiteren Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen) verwendet werden, um die erhöhten Berechtigungen beim Ausführen auszunutzen.
Microsoft hat der Sicherheitsanfälligkeit einen Auswertungsbewertungsindex von 2 zugewiesen. Dies bedeutet, dass Benutzer der neuesten Version von Edge weniger wahrscheinlich ein Ziel für diese Art von Angriff sind.
Die Eskalation der Sicherheitsanfälligkeit für Berechtigungen an sich bedeutet nicht, dass ein Angreifer illegalen Code ausführt. Aber ein Hacker kann damit den Weg für eine schwerwiegendere Verletzung ebnen.
Zum Beispiel könnten sie nach dem illegalen Erreichen erhöhter Berechtigungen eine RCE-Lücke (Remote Code Execution) ausnutzen. Ein RCE-Angriff könnte es ihnen wiederum ermöglichen, Daten zu stehlen, auszuspionieren oder sogar einen Denial-of-Service-Angriff durchzuführen.
Die Eskalation der Berechtigungsanfälligkeit in Edge sollte jedoch kein Grund zur Besorgnis sein. Microsoft hat keine Beweise für seine Ausbeutung in freier Wildbahn erhalten.
Wenn Sie Fragen oder Anregungen zur Microsoft Edge-Sicherheit haben, können Sie diese jederzeit im Kommentarbereich unten hinterlassen.
- Internet-Sicherheit
- Microsoft Edge-Handbücher
