Eine kürzlich geschlossene Sicherheitslücke in Microsoft Edge hätte es böswilligen Akteuren ermöglichen können, heimlich beliebige Erweiterungen auf Benutzern zu installieren’ Systeme, möglicherweise zu schädlichen Handlungen führen.
CVE-2024-21388 erklärt
Entdeckt vom Guardio Labs-Sicherheitsforscher Oleg Zaytsev und als CVE-2024-21388 verfolgt, Dieser Fehler könnte ausgenutzt werden, indem eine private API genutzt wird, die ursprünglich für Marketingzwecke gedacht war. Durch verantwortungsvolle Offenlegung, Microsoft hat das Problem in der stabilen Edge-Version behoben 121.0.2277.83 veröffentlicht am Januar 25, 2024, Wir danken Zaytsev und Jun Kokatsu für die Meldung.
Als Fehler bei der Eskalation von Privilegien, Um CVE-2024-21388 auszunutzen, müssen Angreifer im Vorfeld vorbereitende Maßnahmen ergreifen, um die Zielumgebung zu manipulieren. Die Untersuchung von Guardio ergab, dass die Sicherheitslücke es Angreifern mit JavaScript-Ausführungsfunktionen auf bestimmten Microsoft-Websites ermöglicht, Erweiterungen aus dem Edge Add-ons-Store ohne Zustimmung des Benutzers zu installieren.
Dieser Exploit nutzt den privilegierten Zugriff auf bestimmte private APIs, wie edgeMarketingPagePrivate, Zugriff über auf der Whitelist befindliche Microsoft-eigene Websites wie bing.com und microsoft.com. Vor allem, Die API enthält eine Methode namens installTheme(), Ermöglicht die Installation von Erweiterungen mithilfe eindeutiger Kennungen ohne Benutzerinteraktion.
Der Fehler entsteht durch unzureichende Validierung, Dadurch können Angreifer Beschränkungen umgehen und heimlich Erweiterungen installieren. Zaytsev hervorgehoben Das Potenzial für Angreifer, das Vertrauen der Benutzer auszunutzen, indem sie schädliche Erweiterungen als harmlos tarnen, Dies führt möglicherweise zu weiterer Ausbeutung und finanziellem Gewinn.
Obwohl es keine Beweise für eine Ausbeutung in der realen Welt gibt, Guardio wies darauf hin, wie wichtig es ist, Benutzerfreundlichkeit und Sicherheit in Einklang zu bringen, Betonung der Notwendigkeit Browser-Sicherheitsmechanismen um zu verhindern, dass ähnliche Schwachstellen in Zukunft ausgenutzt werden.