Microsoft、悪意のある拡張機能のインストールにつながる可能性のあるEdgeブラウザの脆弱性にパッチを適用

Microsoftは、Edgeブラウザ用の重要なセキュリティパッチをリリースし、攻撃者がユーザーの知らないうちに悪意のある拡張機能をインストールできる可能性がある脆弱性に対処した。のセキュリティ研究者 グアルディオ・ラボこの欠陥 (CVE-2024-21388 に指定) を発見した は、2023 年 2024 月に Microsoft にこの欠陥を公開し、XNUMX 年 XNUMX 月の解決につながりました。

脆弱性の詳細

この脆弱性は、マーケティング機能の統合を目的とした Edge ブラウザ内のプライベート API に起因します。攻撃者はこの API を悪用して、ユーザーの操作や承認を必要とせずに、ブラウザーに Edge アドオン ストアから拡張機能を強制的にインストールさせる可能性があります。

Guardio Labs は、攻撃者が基本的な JavaScript インジェクションを利用してこの脆弱性を悪用する方法を概説する技術的な詳細を提供しました。この手法を使用すると、ユーザーが侵害された Web サイトにアクセスしたり、悪意のあるリンクを操作したりしただけでも、攻撃者が制御を取得できるようになります。

エクスプロイトに関連するリスク

ブラウザ拡張機能のサイレント インストールは、重大なリスクをもたらします。悪意のある拡張機能は、ログイン資格情報や財務情報などの機密ユーザー データを抜き出すように設計される可能性があります。これらの拡張機能は、標的型攻撃などについてユーザーの閲覧習慣を監視するために使用することもできます。

この脆弱性に対する Microsoft の修正:

この問題は、Microsoft によって、この API に送信されている拡張子 ID と拡張子の種類を確認することで修正されました。したがって、悪意のある拡張機能のインストールを防ぎます。

悪意のある拡張機能がインストールされないように、Edge ブラウザを v121.0.2277.98 以降に更新してください。