除了向Chrome用戶顯示切換到MicrosoftEdge的彈出窗口之外，該公司還在努力修復瀏覽器以及與之相關(guān)的系統(tǒng)的已知錯誤和安全缺陷。這家科技巨頭剛剛修復了之前對其Edge瀏覽器的故障更新，該更新給用戶帶來了許多問題。然而，事實證明還有更多，而且這個特定的問題可能很嚴重。

MicrosoftEdge最近修復的一個錯誤允許潛在攻擊者在用戶系統(tǒng)上安裝擴展。而且無需用戶任何交互即可發(fā)生這種情況。值得注意的是，它可以被用于經(jīng)濟利益或其他目的。

該漏洞編號為CVE-2024-21388，最初由GuardioLabs安全研究員OlegZaytsev披露，他強調(diào)了該漏洞被惡意利用的可能性。

攻擊者可能利用MicrosoftEdge錯誤通過利用私有API安裝擴展

研究人員解決了2024年1月25日發(fā)布的MicrosoftEdge穩(wěn)定版本121.0.2277.83中的安全缺陷。不良行為者可能會利用該缺陷來利用最初用于營銷目的的私有API。該API可以使攻擊者安裝具有廣泛權(quán)限的瀏覽器擴展，這可能導致瀏覽器沙箱逃逸。

如果成功利用該漏洞，攻擊者可能會獲得在未經(jīng)用戶同意的情況下在用戶系統(tǒng)上安裝擴展所需的權(quán)限。攻擊者可以通過利用基于Chromium的Edge瀏覽器中的私有API來實現(xiàn)這一目標。據(jù)報道，它授予了對一系列網(wǎng)站的特權(quán)訪問權(quán)限，其中包括必應(yīng)和微軟。

通過在這些頁面上運行JavaScript，攻擊者可以從EdgeAdd-ons商店安裝擴展。它不需要用戶的任何交互。MicrosoftEdge中的錯誤本質(zhì)上源于驗證不足。它可能允許攻擊者從店面提供任何擴展標識符并秘密安裝它。

該漏洞的潛在影響是巨大的，因為它可能有助于安裝其他惡意擴展。在假設(shè)的攻擊場景中，威脅行為者不僅可以向附加商店發(fā)布看似無害的擴展，還可以利用它們將惡意JavaScript代碼注入合法網(wǎng)站。隨后，訪問這些網(wǎng)站的用戶會在未經(jīng)他們同意的情況下不知不覺地將目標擴展程序安裝在他們的瀏覽器上。

值得慶幸的是，沒有成功利用的記錄

值得慶幸的是，沒有證據(jù)表明這個安全漏洞被成功利用。瀏覽器定制旨在提升用戶體驗。然而，他們可能會無意中引入新的攻擊向量，這個記錄的安全缺陷就是一個很好的例子。正如GuardioLabs的OlegZaytsev所強調(diào)的那樣，攻擊者可以輕松誘騙用戶安裝看似無害的擴展，這可能是更復雜攻擊的第一步。

　　免責聲明：本文由用戶上傳，與本網(wǎng)站立場無關(guān)。財經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風險自擔。 如有侵權(quán)請聯(lián)系刪除！