Microsoft retter Edge-browsersårbarhed, der kunne have ført til ondsindet installation af udvidelser

Microsoft har udgivet en kritisk sikkerhedsrettelse til sin Edge-browser, der adresserer en sårbarhed, der kunne have gjort det muligt for angribere at installere ondsindede udvidelser uden brugerens viden. Sikkerhedsforskere på Guardio Labs, der opdagede fejlen (benævnt CVE-2024-21388), afslørede den til Microsoft i november 2023, hvilket førte til en løsning i februar 2024.

Detaljer om sårbarheden

Sårbarheden stammer fra en privat API i Edge-browseren beregnet til at integrere marketingfunktioner. Angribere kunne udnytte denne API til at tvinge browseren til at installere udvidelser fra Edge Add-ons-butikken uden at kræve brugerinteraktion eller godkendelse.

Guardio Labs leverede tekniske detaljer, der beskriver, hvordan angribere kan bruge en grundlæggende JavaScript-injektion til at udnytte denne sårbarhed. Denne teknik ville give angribere mulighed for at få kontrol, selvom en bruger blot besøgte et kompromitteret websted eller interagerede med et ondsindet link.

Risici forbundet med udnyttelsen

Den lydløse installation af browserudvidelser introducerer betydelige risici. Ondsindede udvidelser kan designes til at udslette følsomme brugerdata, såsom loginoplysninger og økonomiske oplysninger. Disse udvidelser kan også bruges til at overvåge brugernes browsingvaner til målrettede angreb og mere.

Microsofts rettelse af denne sårbarhed:

Problemet blev løst af Microsoft ved at kontrollere, hvilket udvidelses-id og udvidelsestype, der sendes til denne API. Således forhindrer installation af ondsindede udvidelser.

Sørg for at opdatere din Edge-browser til v121.0.2277.98 og nyere for at forhindre dig i at installere ondsindet udvidelse.