دو آسیبپذیری با شناسههای CVE-2024-29981 و CVE-2024-29049 با شدت متوسط (4.1 و 4.3) در مرورگر Microsoft Edge (Chromium-based) کشف شده است. این دو نقص هر دو باعث ایجاد آسیبپذیری Webview2 Spoofing میشوند که یک مهاجم با بهرهبرداری از آن میتواند حملات جعل مانند جعل ایمیل انجام دهد.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل با کاربر نیاز دارد (UI: R). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و یک ضلع از سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار میگیرند.
محصولات تحت تأثیر
این نقص امنیتی نسخه 1.0.0 تا 123.0.2420.81 مرورگر Microsoft Edge را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود مرورگر خود را به آخرین نسخه موجود بهروزرسانی کنند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-29981
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-29049
- 71