Microsoft ha recente rilasciato due aggiornamenti per il suo browser Edge. Uno è disponibile per tutti gli utenti nel canale stabile e l’altro è per coloro che utilizzano Edge nel canale stabile esteso (il quale riceve grandi aggiornamenti ogni otto settimane invece di quattro). Entrambi gli update sono particolarmente significativi, in quanto contengono correzioni per quattro falle di sicurezza Chromium di elevata gravità.
Edge: il nuovo update risolve quattro gravi vulnerabilità
Andando più in dettaglio, l’aggiornamento porta Edge alla relase 131.0.2903.112 per il canale stabile e alla relase 131.0.2903.99 per il canale stabile esteso. Le falle corrette sono le seguenti.
- CVE-2024-12695: la scrittura fuori dai limiti in V8 in Google Chrome prima di 131.0.6778.204 ha permesso a un utente malintenzionato remoto di eseguire codice arbitrario all’interno di una sandbox tramite una pagina HTML creata.
- CVE-2024-12694: l’uso in Compositing in Google Chrome prima di 131.0.6778.204 ha permesso a un utente malintenzionato remoto di sfruttare potenzialmente la corruzione dell’heap tramite una pagina HTML realizzata.
- CVE-2024-12693: l’accesso alla memoria fuori dai limiti in V8 in Google Chrome prima di 131.0.6778.204 consentiva a un utente malintenzionato remoto di eseguire codice arbitrario all’interno di una sandbox tramite una pagina HTML creata.
- CVE-2024-12692: la confusione in V8 in Google Chrome prima di 131.0.6778.204 ha permesso a un utente malintenzionato remoto di sfruttare potenzialmente la corruzione dell’heap tramite una pagina HTML creata.
Da tenere presente che Microsoft Edge si aggiornerà in background senza richiedere alcun intervento manuale, ma eventualmente è possibile accelerare la procedura aprendo da esso la pagina edge://settings/help
e forzando gli aggiornamenti disponibili.