Edge收到针对特权升级漏洞的修复程序

　　win10之家5月24日消息现在提供了Edge中特权升级威胁的安全补丁 边缘版本83.0.478.37。包含此更新。 

　　Microsoft认真对待Edge的安全性和隐私权，这对于赶上Chrome和Firefox的水平是必不可少的。为此，这家技术巨头在基于Chromium的浏览器中发布了针对特权升级漏洞的修复程序。

　　该安全修补程序是Edge更新83.0.478.37的一部分，该更新当前正在稳定通道中推出。非安全更新包括自动配置文件切换等功能。

　　特权升级漏洞

　　Microsoft将安全风险称为CVE-2020-1195。暴露源于Edge中的“反馈”扩展倾向于错误地验证输入。

　　因此，如果攻击者设法利用漏洞，他们可以将文件移动到任意内存位置。这样做还可以为黑客提供更高的系统特权。

　　当“反馈”扩展未正确验证输入时，Microsoft Edge(基于Chromium)中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以将文件写入任意位置并获得更高的特权。此漏洞可以与一个或多个漏洞(例如，远程执行代码漏洞和另一种特权提升漏洞)结合使用，以在运行时利用提升的特权。

　　Microsoft将漏洞的利用评估指数指定为2。这意味着最新版本的Edge的用户不太可能成为此类攻击的目标。

　　特权升级的漏洞本身并不等于攻击者执行了非法代码。但是黑客可以使用它来为更严重的破坏铺平道路。

　　例如，在非法获得提升的特权之后，他们可能会利用远程代码执行(RCE)漏洞。RCE攻击可能反过来又使他们能够窃取数据，监视甚至进行拒绝服务攻击。

　　但是，Edge中的特权升级漏洞应该不会引起警报。Microsoft尚未收到任何有关在野外对其进行利用的证据。