除了向Chrome用戶顯示切換到MicrosoftEdge的彈出窗口之外，該公司還在努力修復(fù)瀏覽器以及與之相關(guān)的系統(tǒng)的已知錯(cuò)誤和安全缺陷。這家科技巨頭剛剛修復(fù)了之前對(duì)其Edge瀏覽器的故障更新，該更新給用戶帶來了許多問題。然而，事實(shí)證明還有更多，而且這個(gè)特定的問題可能很嚴(yán)重。

MicrosoftEdge最近修復(fù)的一個(gè)錯(cuò)誤允許潛在攻擊者在用戶系統(tǒng)上安裝擴(kuò)展。而且無需用戶任何交互即可發(fā)生這種情況。值得注意的是，它可以被用于經(jīng)濟(jì)利益或其他目的。

該漏洞編號(hào)為CVE-2024-21388，最初由GuardioLabs安全研究員OlegZaytsev披露，他強(qiáng)調(diào)了該漏洞被惡意利用的可能性。

攻擊者可能利用MicrosoftEdge錯(cuò)誤通過利用私有API安裝擴(kuò)展

研究人員解決了2024年1月25日發(fā)布的MicrosoftEdge穩(wěn)定版本121.0.2277.83中的安全缺陷。不良行為者可能會(huì)利用該缺陷來利用最初用于營(yíng)銷目的的私有API。該API可以使攻擊者安裝具有廣泛權(quán)限的瀏覽器擴(kuò)展，這可能導(dǎo)致瀏覽器沙箱逃逸。

如果成功利用該漏洞，攻擊者可能會(huì)獲得在未經(jīng)用戶同意的情況下在用戶系統(tǒng)上安裝擴(kuò)展所需的權(quán)限。攻擊者可以通過利用基于Chromium的Edge瀏覽器中的私有API來實(shí)現(xiàn)這一目標(biāo)。據(jù)報(bào)道，它授予了對(duì)一系列網(wǎng)站的特權(quán)訪問權(quán)限，其中包括必應(yīng)和微軟。

通過在這些頁面上運(yùn)行JavaScript，攻擊者可以從EdgeAdd-ons商店安裝擴(kuò)展。它不需要用戶的任何交互。MicrosoftEdge中的錯(cuò)誤本質(zhì)上源于驗(yàn)證不足。它可能允許攻擊者從店面提供任何擴(kuò)展標(biāo)識(shí)符并秘密安裝它。

該漏洞的潛在影響是巨大的，因?yàn)樗赡苡兄诎惭b其他惡意擴(kuò)展。在假設(shè)的攻擊場(chǎng)景中，威脅行為者不僅可以向附加商店發(fā)布看似無害的擴(kuò)展，還可以利用它們將惡意JavaScript代碼注入合法網(wǎng)站。隨后，訪問這些網(wǎng)站的用戶會(huì)在未經(jīng)他們同意的情況下不知不覺地將目標(biāo)擴(kuò)展程序安裝在他們的瀏覽器上。

值得慶幸的是，沒有成功利用的記錄

值得慶幸的是，沒有證據(jù)表明這個(gè)安全漏洞被成功利用。瀏覽器定制旨在提升用戶體驗(yàn)。然而，他們可能會(huì)無意中引入新的攻擊向量，這個(gè)記錄的安全缺陷就是一個(gè)很好的例子。正如GuardioLabs的OlegZaytsev所強(qiáng)調(diào)的那樣，攻擊者可以輕松誘騙用戶安裝看似無害的擴(kuò)展，這可能是更復(fù)雜攻擊的第一步。

標(biāo)簽：