最近パッチが適用された Microsoft Edge のセキュリティ脆弱性により、悪意のある攻撃者がユーザーに任意の拡張機能をこっそりインストールできる可能性があります’ システム, 有害な行為につながる可能性がある.
CVE-2024-21388 の説明
Guardio Labs のセキュリティ研究者 Oleg Zaytsev によって発見され、CVE-2024-21388 として追跡されました。, この欠陥は、当初はマーケティング目的であったプライベート API を利用することで悪用される可能性があります。. 責任ある情報開示を通じて, MicrosoftはEdge安定版で問題に対処しました 121.0.2277.83 1月発売 25, 2024, ザイツェフ氏と古勝淳氏の報告に感謝.
権限昇格の欠陥として, CVE-2024-21388 を悪用するには、攻撃者が事前に準備措置を講じる必要があります, 対象環境を操作するため. Guardio の調査により、この脆弱性により、特定の Microsoft Web サイト上で JavaScript 実行機能を持つ悪意のある攻撃者が、ユーザーの同意なしに Edge アドオン ストアから拡張機能をインストールできることが明らかになりました。.
このエクスプロイトは、特定のプライベート API への特権アクセスを利用します。, edgeMarketingPagePrivateなど, bing.com やmicrosoft.com などのホワイトリストに登録された Microsoft 所有のサイトからアクセス可能. 特に, API には installTheme というメソッドが含まれています(), ユーザーの介入なしで一意の識別子を使用して拡張機能をインストールできるようにする.
欠陥は検証が不十分なために発生する, 攻撃者が制限を回避し、こっそり拡張機能をインストールできるようにする. ザイツェフ 強調表示 攻撃者が有害な拡張機能を無害なものに見せかけてユーザーの信頼を悪用する可能性, さらなる搾取と金銭的利益につながる可能性がある.
現実世界での搾取の証拠はないが, Guardio 氏は、ユーザーの利便性とセキュリティのバランスの重要性を指摘しました。, ~の必要性を強調する ブラウザのセキュリティメカニズム 将来同様の脆弱性が悪用されるのを防ぐため.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: