Il colosso di Redmond ha reso disponibile un nuovo aggiornamento per Microsoft Edge con cui vengono corrette cinque falle di sicurezza. L’update è per la versione 123 nel canale stabile e porta il browser alla relase 123.0.2420.81. Non vengono però proposte nuove funzionalità o modifiche particolari.
Microsoft Edge: corrette cinque falle di sicurezza per la versione 123
Tornando alle falle di sicurezza corrette, tre sono le ultime patch di sicurezza di Chromium e le altre due sono specifiche per Microsoft Edge. Le falle di Chromium corrette sono quelle siglate come CVE-2024-3156 (implementazione inappropriata in V8), CVE-2024-3158 (utilizzare dopo libero nei segnalibri) e CVE-2024-3159 (accesso alla memoria fuori limite in V8), mentre le falle specifiche del browser di casa Microsoft sono quelle siglate come CVE-2024-29981 e CVE-2024-29049.
Pù in dettaglo, CVE-2024-29981 è una vulnerabilità di spoofing, contrassegnata con bassa gravità, la quale richiede l’accesso locale al dispositivo di destinazione o l’apertura di un file specificamente creato.
Invece, CVE-2024-29049 è una vulnerabilità di spoofing WebView2 di elevata complessità e moderata gravità. Secondo Microsoft, per sfruttarla è necessario che un utente malintenzionato intraprenda ulteriori azioni preventive al fine di preparare l’ambiente di destinazione. Anche se la vulnerabilità è all’interno del server web, il codice dannoso viene eseguito sulla macchina locale di una vittima. Inoltre, viene richiesta l’apertura di un file infetto da parte degli utenti.
Da tenere presente che il nuovo aggiornamento viene scaricato e installato in maniera del tutto automatica da Microsoft Edge, ma volendo è possibile forzare il processo di update visitando la pagina edge://settings/help
.