מיקרוסופט מתקנת פגיעות בדפדפן Edge שעלולה הייתה להוביל להתקנת תוסף זדוני
2 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
הערות עיקריות
- חוקרי אבטחה ב-Guardio Labs חשפו פגיעות ב-Microsoft Edge (CVE-2024-21388).
- הפגם יכול היה לאפשר לתוקפים להתקין הרחבות לדפדפן עם הרשאות רחבות טווח ללא הסכמת המשתמש.
מיקרוסופט פרסמה תיקון אבטחה קריטי לדפדפן ה-Edge שלה, המתייחס לפגיעות שיכולה הייתה לאפשר לתוקפים להתקין הרחבות זדוניות ללא ידיעת המשתמש. חוקרי אבטחה ב Guardio Labs, שגילה את הפגם (סומן CVE-2024-21388), חשף אותו למיקרוסופט בנובמבר 2023, מה שהוביל לפתרון בפברואר 2024.
פרטים על הפגיעות
הפגיעות מקורה ממשק API פרטי בדפדפן Edge המיועד לשילוב תכונות שיווקיות. תוקפים יכולים לנצל את ה-API הזה כדי לאלץ את הדפדפן להתקין הרחבות מחנות Edge Add-ons מבלי לדרוש אינטראקציה או אישור של המשתמש.
Guardio Labs סיפקה פרטים טכניים המתארים כיצד תוקפים יכולים להשתמש בהזרקת JavaScript בסיסית כדי לנצל את הפגיעות הזו. טכניקה זו תאפשר לתוקפים להשיג שליטה, גם אם משתמש פשוט ביקר באתר שנפרץ או קיים אינטראקציה עם קישור זדוני.
סיכונים הקשורים לניצול
ההתקנה השקטה של הרחבות לדפדפן מציגה סיכונים משמעותיים. הרחבות זדוניות יכולות להיות מתוכננות כדי לסנן נתוני משתמש רגישים, כגון אישורי התחברות ומידע פיננסי. ניתן להשתמש בהרחבות אלו גם לנטר הרגלי גלישה של משתמשים להתקפות ממוקדות ועוד.
התיקון של מיקרוסופט לפגיעות זו:
הבעיה תוקנה על ידי מיקרוסופט על ידי בדיקת מזהה התוסף וסוג ההרחבה שנשלחים ל-API זה. לפיכך, מניעת התקנה של הרחבות זדוניות.
אנא הקפד לעדכן את דפדפן Edge לגרסה 121.0.2277.98 ומעלה כדי למנוע מעצמך התקנת תוסף זדונית.
