-
09/04/2020
-
93
-
600 bài viết
Lỗ hổng trong Microsoft Edge có thể cho phép kẻ tấn công cài đặt các tiện ích mở rộng độc hại
Một lỗ hổng vừa được phát hiện trong trình duyệt web Microsoft Edge có mã định danh CVE-2024-21388, điểm CVSS 6,5 đã bị khai thác để cài đặt các tiện ích mở rộng tùy ý trên hệ thống, từ đó thực hiện các hành vi độc hại.
Lỗ hổng này ảnh hưởng đến trình duyệt web Microsoft Edge dựa trên Chromium trước phiên bản 121.0.2277.83.
Cụ thể, lỗ hổng CVE-2024-21388 cho phép kẻ tấn công sử dụng một API riêng tư trong trình duyệt để cài đặt các tiện ích mở rộng bổ sung trên hệ thống mà không cần sự tương tác của người dùng.
API này là edgeMarketingPagePrivate, được truy cập từ một số trang web thuộc sở hữu của Microsoft như bing.com, microsoft.com, microsoftedgewelcome.microsoft.com và microsoftedgetips.microsoft.com.
Ngoài ra, Microsoft cho biết lỗ hổng này có thể dẫn đến việc thoát khỏi cơ chế bảo mật của trình duyệt và nhấn mạnh điều kiện cần là kẻ tấn công phải thực hiện các hành động bổ sung trước khi khai thác để chuẩn bị môi trường mục tiêu.
Hiện chưa có dấu hiệu về việc lỗ hổng này đang bị khai thác trên thực tế.
Microsoft đã phát hành phiên bản Edge 121.0.2277.83 để vá lỗ hổng CVE-2024-21388 vào ngày 25 tháng 1 năm 2024. Vì vậy, người dùng được khuyến cáo nên cài đặt các bản cập nhật mới nhất giúp bảo vệ hệ thống khỏi các cuộc tấn công.
Lỗ hổng này ảnh hưởng đến trình duyệt web Microsoft Edge dựa trên Chromium trước phiên bản 121.0.2277.83.
Cụ thể, lỗ hổng CVE-2024-21388 cho phép kẻ tấn công sử dụng một API riêng tư trong trình duyệt để cài đặt các tiện ích mở rộng bổ sung trên hệ thống mà không cần sự tương tác của người dùng.
API này là edgeMarketingPagePrivate, được truy cập từ một số trang web thuộc sở hữu của Microsoft như bing.com, microsoft.com, microsoftedgewelcome.microsoft.com và microsoftedgetips.microsoft.com.
Ngoài ra, Microsoft cho biết lỗ hổng này có thể dẫn đến việc thoát khỏi cơ chế bảo mật của trình duyệt và nhấn mạnh điều kiện cần là kẻ tấn công phải thực hiện các hành động bổ sung trước khi khai thác để chuẩn bị môi trường mục tiêu.
Hiện chưa có dấu hiệu về việc lỗ hổng này đang bị khai thác trên thực tế.
Microsoft đã phát hành phiên bản Edge 121.0.2277.83 để vá lỗ hổng CVE-2024-21388 vào ngày 25 tháng 1 năm 2024. Vì vậy, người dùng được khuyến cáo nên cài đặt các bản cập nhật mới nhất giúp bảo vệ hệ thống khỏi các cuộc tấn công.
Theo The Hacker News