کشف آسیب‌پذیری در Microsoft Edge

کشف آسیب‌پذیری در Microsoft Edge

تاریخ ایجاد

دو آسیب‌پذیری با شناسه‌های CVE-2024-29981 و CVE-2024-29049 با شدت متوسط (4.1 و 4.3) در مرورگر Microsoft Edge (Chromium-based) کشف شده است. این دو نقص هر دو باعث ایجاد آسیب‌پذیری Webview2 Spoofing می‌شوند که یک مهاجم با بهره‌برداری از آن می‌تواند حملات جعل مانند جعل ایمیل انجام دهد.
بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N) بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله، حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N)  و به تعامل با کاربر نیاز دارد (UI: R). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و یک ضلع از سه ضلع امنیت، با شدت بالایی تحت تاثیر قرار می‌گیرند.

محصولات تحت تأثیر
این نقص امنیتی نسخه‌ 1.0.0 تا 123.0.2420.81  مرورگر Microsoft Edge را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود مرورگر خود را به آخرین نسخه موجود به‌روزرسانی کنند.


منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-29981
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-29049