Összefoglaló
A Microsoft Edge kritikus sérülékenységei váltak ismertté, amelyet kihasználva a támadó tetszőleges kódot futtathat a sérülékeny rendszeren. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A Microsoft Edgehez összesen 13 hibajavítás vált elérhetővé, a hibák kihasználásával a támadó tetszőleges kódot futtathat, bizalmas információkhoz juthat, kiterjesztett jogosultságokat szerezhet, és megkerülheti a böngésző biztonsági korlátozásait. A sérülékenység sikeres kihasználásához a felhasználónak egy fertőzött weboldalt kell meglátogatnia, ezt követően a támadó a felhasználó jogosultságával módosíthatja a rendszert.
A Microsoft szerint a CVE-2016-7189 számú sérülékenységet a támadók aktívan kihasználják, segítségével a támadók tetszőleges kódot futtathatnak a célrendszeren. A hiba a böngésző parancsfájl motorjában található, amely nem megfelelően kezeli az objektumokat a memóriában.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Telepítse a KB3192890-es javítást.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: technet.microsoft.com
CVE-2016-3267 - NVD CVE-2016-3267
CVE-2016-3331 - NVD CVE-2016-3331
CVE-2016-3382 - NVD CVE-2016-3382
CVE-2016-3386 - NVD CVE-2016-3386
CVE-2016-3387 - NVD CVE-2016-3387
CVE-2016-3388 - NVD CVE-2016-3388
CVE-2016-3389 - NVD CVE-2016-3389
CVE-2016-3390 - NVD CVE-2016-3390
CVE-2016-3391 - NVD CVE-2016-3391
CVE-2016-3392 - NVD CVE-2016-3392
CVE-2016-7189 - NVD CVE-2016-7189
CVE-2016-7190 - NVD CVE-2016-7190
CVE-2016-7194 - NVD CVE-2016-7194
