时间:2020-09-26 来源:系统堂 游览量: 次
微软已经发布了针对Microsoft Edge的新的稳定更新,这是基于Chromium版本的浏览器,现在不仅在Windows上而且在macOS上都可用。
附带说明,Linux版本也正在开发中,Microsoft最近确认了预览版本计划在10月发布。
在Windows和Mac上,新的Microsoft Edge稳定版本为85.0.564.63,因此它只是对85.0.564.51版本的一个较小更新。
这表明该浏览器没有任何功能,而是新的安全补丁,因为Microsoft已发布此更新来解决漏洞(不是Microsoft Edge而是驱动该应用程序的Chromium引擎中的漏洞)。
新的稳定更新解决了以下漏洞:
CVE-2020-15960
CVE-2020-15961
CVE-2020-15962
CVE-2020-15963
CVE-2020-15964
CVE-2020-15965
CVE-2020-15966
Microsoft已对这些漏洞进行了高严重性分级,建议用户尽快更新Microsoft Edge。
CVE-2020-15966是一个漏洞,它使攻击者仅使用精心设计的扩展程序即可从设备获取敏感信息。
换句话说,如果在线有人设法说服您安装他们专门为利用此漏洞而构建的特定Google Chrome加载项,则他们最终可能会在浏览器中读取敏感信息。由于Microsoft Edge附带了对Google Chrome扩展程序的支持并使用了Chromium引擎,因此Microsoft Edge面临着同样的错误,这就是为什么每个人尽快安装补丁是如此重要的原因。
CVE读到:“在85.0.4183.121之前,由于Google Chrome扩展程序中的策略执行不充分,攻击者诱使用户安装了恶意扩展程序,无法通过精心制作的Chrome扩展程序获取潜在的敏感信息。”
CVE-2020-15960本身也描述了一种非常简单的攻击方法,因为它要求攻击者仅将易受攻击的浏览器指向恶意HTML页面。更具体地说,黑客可以在消息传递平台上或通过电子邮件向用户发送链接,以将其指向受感染的网站托管代码,该代码将用于利用Chrome存储组件中的堆缓冲区溢出故障。根据上面链接的官方CVE页面,一旦用户到位并加载了页面,远程攻击者便可以执行超出范围的内存访问。
CVE-2020-15961也应特别注意,因为它可以被恶意扩展利用,该恶意扩展需要安装在运行未修补版本的Microsoft Edge(或其他Chromium浏览器)的计算机上。
CVE页面显示:“ 85.0.4183.121之前的Google Chrome扩展程序中的策略验证不足,使得诱使用户诱使用户安装恶意扩展程序的攻击者有可能通过精心制作的Chrome扩展程序执行沙箱逃逸,” CVE页面显示。
考虑到所有这些,将Microsoft Edge更新到最新版本应该是这些天的头等大事,尤其是在公司网络中。
在Windows 10上,Microsoft Edge的稳定版本会通过Windows Update自动更新,因此新版本应该已经在您的设备上了。您可以从浏览器的设置屏幕中找到Microsoft Edge的版本。
基于Chromium的Microsoft Edge版本现在是Windows 10上的默认浏览器,因为它取代了今年早些时候的旧版同类产品。另一方面,在Windows 7和Windows 8.1上,它是由Microsoft通过Windows Update提供的,而在macOS上,只能通过手动下载安装浏览器。但是,Windows和Mac版本通常会同时更新。