除了向Chrome用户显示切换到MicrosoftEdge的弹出窗口之外,该公司还在努力修复浏览器以及与之相关的系统的已知错误和安全缺陷。这家科技巨头刚刚修复了之前对其Edge浏览器的故障更新,该更新给用户带来了许多问题。然而,事实证明还有更多,而且这个特定的问题可能很严重。
MicrosoftEdge最近修复的一个错误允许潜在攻击者在用户系统上安装扩展。而且无需用户任何交互即可发生这种情况。值得注意的是,它可以被用于经济利益或其他目的。
该漏洞编号为CVE-2024-21388,最初由GuardioLabs安全研究员OlegZaytsev披露,他强调了该漏洞被恶意利用的可能性。
攻击者可能利用MicrosoftEdge错误通过利用私有API安装扩展
研究人员解决了2024年1月25日发布的MicrosoftEdge稳定版本121.0.2277.83中的安全缺陷。不良行为者可能会利用该缺陷来利用最初用于营销目的的私有API。该API可以使攻击者安装具有广泛权限的浏览器扩展,这可能导致浏览器沙箱逃逸。
如果成功利用该漏洞,攻击者可能会获得在未经用户同意的情况下在用户系统上安装扩展所需的权限。攻击者可以通过利用基于Chromium的Edge浏览器中的私有API来实现这一目标。据报道,它授予了对一系列网站的特权访问权限,其中包括必应和微软。
通过在这些页面上运行JavaScript,攻击者可以从EdgeAdd-ons商店安装扩展。它不需要用户的任何交互。MicrosoftEdge中的错误本质上源于验证不足。它可能允许攻击者从店面提供任何扩展标识符并秘密安装它。
该漏洞的潜在影响是巨大的,因为它可能有助于安装其他恶意扩展。在假设的攻击场景中,威胁行为者不仅可以向附加商店发布看似无害的扩展,还可以利用它们将恶意JavaScript代码注入合法网站。随后,访问这些网站的用户会在未经他们同意的情况下不知不觉地将目标扩展程序安装在他们的浏览器上。
值得庆幸的是,没有成功利用的记录
值得庆幸的是,没有证据表明这个安全漏洞被成功利用。浏览器定制旨在提升用户体验。然而,他们可能会无意中引入新的攻击向量,这个记录的安全缺陷就是一个很好的例子。正如GuardioLabs的OlegZaytsev所强调的那样,攻击者可以轻松诱骗用户安装看似无害的扩展,这可能是更复杂攻击的第一步。