Cybersecurity

Microsoft Edge: οι νέες ευπάθειες που πρέπει να κλείσεις τώρα

Τρεις νέες ευπάθειες στο Microsoft Edge ανεβάζουν τον πήχη του ρίσκου για Windows χρήστες και μικρές επιχειρήσεις. Δες τι να κάνεις άμεσα, πώς ελέγχεις το update και ποια μέτρα μειώνουν το πρόβλημα αν μπεις σε κακόβουλη σελίδα.

Αν χρησιμοποιείς Microsoft Edge σε Windows, αξίζει να το ελέγξεις σήμερα. Τρεις νέες ευπάθειες στο Chromium-based Edge δίνουν στους επιτιθέμενους δυνατότητα για απομακρυσμένη εκτέλεση κώδικα ή παράκαμψη μηχανισμού ασφαλείας, δηλαδή το είδος του προβλήματος που δεν θέλεις να μένει ανοιχτό όταν μπαίνεις σε άγνωστο site, ανοίγεις link από email ή δουλεύεις σε εταιρικό περιβάλλον.

Το πρακτικό συμπέρασμα είναι απλό: αν ο browser σου μείνει πίσω σε έκδοση, αυξάνεις το ρίσκο να βρεθείς εκτεθειμένος όχι επειδή «έκανες κάτι λάθος», αλλά επειδή έπεσες πάνω σε κακόβουλη σελίδα ή σε στοχευμένο phishing που εκμεταλλεύεται την αδυναμία. Για μικρές επιχειρήσεις, το πρόβλημα γίνεται πιο σοβαρό, γιατί ο browser είναι συχνά το πρώτο σημείο επαφής με email, ERP, cloud υπηρεσίες και web apps.

Γιατί αυτές οι αδυναμίες έχουν πρακτικό βάρος

Οι δύο ευπάθειες τύπου remote code execution σημαίνουν ότι ένας επιτιθέμενος μπορεί να πετύχει εκτέλεση κώδικα μέσω του browser, χωρίς να χρειάζεται φυσική πρόσβαση στο μηχάνημά σου. Η μία βασίζεται σε heap-based buffer overflow, η άλλη σε type confusion. Σε απλά ελληνικά, μιλάμε για σφάλματα μνήμης και λάθος χειρισμό δεδομένων που μπορούν να μετατραπούν σε επίθεση όταν ο browser επεξεργαστεί το κατάλληλο περιεχόμενο.

Η τρίτη ευπάθεια αφορά security feature bypass. Δεν ανοίγει μόνη της τον δρόμο για πλήρη έλεγχο, αλλά μπορεί να βοηθήσει έναν εισβολέα να παρακάμψει ένα επίπεδο άμυνας. Αυτό είναι ακριβώς το είδος του «μικρού» κενού που σε συνδυασμό με phishing, κακόβουλο link ή άλλο exploit κάνει τη διαφορά.

Τι να κάνεις τώρα σε Windows, Mac και εταιρικούς σταθμούς εργασίας

Η πρώτη κίνηση είναι να ενημερώσεις αμέσως τον Edge. Άνοιξε το μενού του browser, πήγαινε στις ρυθμίσεις και έλεγξε αν υπάρχει διαθέσιμη ενημέρωση. Αν δουλεύεις σε Windows 11, ο Edge συνήθως αυτοενημερώνεται, αλλά μην το θεωρήσεις δεδομένο. Αν η μηχανή μένει ώρες κλειστή ή αν υπάρχει περιορισμός από εταιρικό policy, το update μπορεί να έχει καθυστερήσει.

Σε μικρή επιχείρηση, έλεγξε και τα υπόλοιπα endpoints. Ο Edge δεν είναι μόνο «ο browser του υπαλλήλου», είναι εργαλείο που συχνά κρατά sessions για email, CRM, Microsoft 365, τράπεζες και cloud storage. Κλείσε το automatic restart μόνο αν υπάρχει λόγος, αλλά φρόντισε οι ενημερώσεις ασφαλείας να περνούν άμεσα. Αν έχεις διαχειριστή IT ή MDM, βάλε προτεραιότητα στις συσκευές που μπαίνουν καθημερινά σε πελατειακά portals και οικονομικές εφαρμογές.

Αν χρησιμοποιείς Mac με Edge, το ίδιο ισχύει. Οι επιθέσεις στο Chromium οικοσύστημα δεν «σέβονται» το λειτουργικό μόνο και μόνο επειδή αλλάζει το λογότυπο της συσκευής. Το σημείο εισόδου παραμένει ο browser και εκεί χρειάζεται πειθαρχία στο update.

Πώς μειώνεις το ρίσκο από phishing και κακόβουλα sites

Η ενημέρωση του browser είναι η βάση, όχι η μοναδική άμυνα. Μην ανοίγεις links από email ή SMS όταν το μήνυμα σε πιέζει να συνδεθείς επειγόντως σε τράπεζα, courier, MyAADE, Microsoft 365 ή εταιρική πλατφόρμα. Άνοιγε πάντα τη σελίδα μόνος σου, από αποθηκευμένο bookmark ή γράφοντας τη διεύθυνση χειροκίνητα.

Κράτα ενεργό το two-factor authentication στους βασικούς λογαριασμούς σου. Αν ένας επιτιθέμενος πετύχει πρόσβαση μέσω browser exploit, το 2FA μπορεί να του κόψει το δρόμο προς email, cloud και εταιρικά δεδομένα. Ακόμα καλύτερα, αν μπορείς, πέρασε σε passkeys ή σε authentication app αντί για SMS. Το SMS παραμένει πιο αδύναμο, ειδικά για επιχειρηματικούς λογαριασμούς με αξία.

Σβήνε παλιά extensions που δεν χρειάζεσαι. Πολλά browser incidents δεν ξεκινούν μόνο από την ευπάθεια, αλλά από το συνολικό περιβάλλον: plugins, αποθηκευμένους κωδικούς, session cookies και πρόχειρες συνήθειες. Όσο πιο «φορτωμένος» είναι ο browser, τόσο περισσότερα σημεία μπορεί να εκμεταλλευτεί κάποιος.

Τι να προσέξει μια μικρή επιχείρηση στην Ελλάδα

Για γραφεία, λογιστήρια, τεχνικά καταστήματα και μικρές ομάδες που δουλεύουν με Microsoft 365, το ρίσκο δεν είναι θεωρητικό. Ένα μολυσμένο session σε browser μπορεί να δώσει πρόσβαση σε mailbox, shared drives, τιμολόγια ή εσωτερικές πλατφόρμες. Αν η επιχείρηση βασίζεται σε έναν browser για σχεδόν τα πάντα, τότε το patching του Edge πρέπει να μπει στο ίδιο πρόγραμμα με τα updates των Windows και του antivirus.

Χρήσιμος κανόνας: ξεχωριστό browser προφίλ για δουλειά, άλλο για προσωπική χρήση. Μην αποθηκεύεις στον ίδιο χώρο τους εταιρικούς κωδικούς, το Gmail, τα social και τα οικονομικά εργαλεία. Αν κάτι πάει στραβά, περιορίζεις τη ζημιά.

Αν έχεις συνεργάτες ή υπαλλήλους που δουλεύουν από το σπίτι, έλεγξε αν χρησιμοποιούν ενημερωμένο Edge και αν το εταιρικό VPN ή το M365 login περνά από συσκευές με basic προστασία. Το endpoint δεν χρειάζεται να είναι υπερβολικά «βαρύ» για να είναι ασφαλές, αλλά πρέπει να είναι επίκαιρο.

Ο έλεγχος που αξίζει πέντε λεπτά

Άνοιξε τον Edge, έλεγξε την έκδοση και κάνε update. Κάνε επανεκκίνηση της συσκευής ώστε να κλείσουν τα παλιά processes του browser. Μετά, δες αν οι πιο σημαντικοί λογαριασμοί σου έχουν 2FA, αν οι αποθηκευμένοι κωδικοί είναι απαραίτητοι και αν το λειτουργικό σου έχει επίσης εκκρεμείς ενημερώσεις.

Αν δουλεύεις σε περιβάλλον όπου ο browser ανοίγει links από email όλη μέρα, το καλύτερο που μπορείς να κάνεις είναι να μειώσεις την εμπιστοσύνη σου στα links και να αυξήσεις την πειθαρχία στο update. Δεν χρειάζεται πανικός. Χρειάζεται να μην αφήσεις ανοιχτή την πόρτα τη στιγμή που κυκλοφορούν τέτοιες αδυναμίες.

Τεκμηρίωση