Microsoft ha lanzado la versión 120.0.2210.61 de su navegador Edge en el canal estable. Según la compañía, esta versión incluye las últimas correcciones de seguridad del proyecto Chromium.
- CVE-2023-38174: Divulgación de información, CVSS: 3.1 4.3 / 3.8; Gravedad: baja; El usuario debe hacer clic en una URL especialmente diseñada para que el atacante la comprometa. Al usar esta vulnerabilidad, solo se divulga una parte limitada de la información, no se puede obtener información confidencial.
- CVE-2023-35618: Aumentar permisos, aumentar permisos, severidad: medio; Esta vulnerabilidad podría dar como resultado la izquierda de un entorno limitado del navegador. Para hacer esto, un usuario debe visitar un sitio web manipulado, descargarlo y abrirlo. Entonces es posible una ejecución remota de código. Sin embargo, Microsoft escribe que la gravedad se ha degradado porque probablemente se requieren muchas interacciones o condiciones previas del usuario para permitir la explotación.
- CVE-2023-36880: Divulgación de información, CVSS: 3.1 4.8 / 4.2; Gravedad: baja; Los atacantes tendrían que recopilar información sobre el medio ambiente y tomar medidas adicionales para preparar el entorno objetivo. Según Microsoft, no se puede obtener información confidencial. Los atacantes que han explotado con éxito la vulnerabilidad de seguridad pueden ejecutar código de forma limitada. Microsoft clasifica la explotación como poco probable.
El nuevo Edge también trae nuevas características. Una de ellas es una nueva opción de telemetría que guarda el historial de búsqueda a través de proveedores externos (está habilitada por defecto).
- RendererAppContainer: El contenedor nativo de la aplicación de Windows se activa de forma predeterminada para obtener ventajas de seguridad adicionales. Sin embargo, esto se puede desactivar mediante una guía para problemas de compatibilidad; consulte la nota.
- Política actualizada de SmartActionsBlockList: Los SmartActionsBlockList- La política se ha actualizado con nuevas asignaciones de opciones de política. Los administradores ahora pueden configurar la política para controlar acciones inteligentes, como definiciones en sitios web (smart_actions_website) o acciones inteligentes en archivos PDF y en sitios web (smart_actions).
Microsoft
08/12/2023