已修復(fù)，微軟 Edge 瀏覽器漏洞被披露：可安裝惡意擴(kuò)展程序

IT之家 3 月 30 日消息，Guardio Labs 安全研究員 Oleg Zaytsev 近日發(fā)布報(bào)告，披露了存在于微軟 Edge 瀏覽器中的高危漏洞，可讓攻擊者悄然安裝惡意擴(kuò)展程序。微軟于 2024 年 1 月 25 日發(fā)布的 Edge 121.0.2277.83 中已經(jīng)修復(fù)了該漏洞。

Zaytsev 于 2023 年 11 月向微軟報(bào)告了該漏洞，追蹤編號(hào)為 CVE-2024-21388，主要利用原本用于營(yíng)銷目的的私有 API，在用戶不知情的情況下，秘密安裝具有高級(jí)權(quán)限的擴(kuò)展程序。

CVE-2024-21388 漏洞的 CVSS 得分為 6.5 分，微軟在發(fā)布聲明中表示攻擊者可以利用該漏洞突破瀏覽器沙盒，從而獲得安裝擴(kuò)展所需的權(quán)限。

IT之家附上新聞參考地址

• Microsoft Edge Bug Could Have Allowed Attackers to Silently Install Malicious Extensions

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。