مایکروسافت چندین آسیبپذیری بحرانی را در مرورگرEdge مبتنی بر کرومیوم (Chromium-based) برطرف کرده است. آسیبپذیریهای مذکور، میتوانند به مهاجمان امکان اجرای کد دلخواه یا دسترسی به حافظه خارج از محدوده out-of-bounds (OOB) را از طریق محتوای HTML جعلی بدهند. جزئیات آسیبپذیریها به شرح زیر است:
• نقص اعتبارسنجی نامناسب داده در Dawn با شناسه CVE-2024-7256 و شدت 8.8 :
این نقص امنیتی به مهاجمان اجازه میدهد تا با بهرهبرداری از نقص اعتبارسنجی نامناسب داده در مؤلفه Microsoft Edge’s Dawn، کد دلخواه را اجرا کنند. محتوای جعلی HTML میتواند این نقص را ایجاد کرده و منجر به خطر افتادن سیستم شود.
• نقص Uninitialized Use در Dawn با شناسه CVE-2024-6990 و شدت 8.8 :
یک آسیبپذیری Uninitialized Use در مؤلفه Dawn است که به مهاجمان اجازه میدهد تا به حافظه OOB دسترسی پیدا کنند. این نقص امنیتی را میتوان با استفاده از HTML جعلی، مورد بهرهبرداری قرار داد که به طور بالقوه منجر به بی ثباتی سیستم یا بهره برداری بیشتر می شود.
• نقص امنیت در ویژگی WebTransport با شناسه CVE-2024-7255 :
یک آسیبپذیری در ویژگی WebTransport مرورگر Edge که به مهاجمان اجازه میدهد تا از طریق HTML جعلی، به حافظه OOB دسترسی داشته باشند. این نقص میتواند برای به خطر انداختن امنیت سیستم آسیبدیده استفاده شود.
محصولات تحت تأثیر
این آسیبپذیریها، نسخههای 127.0.6533.88 و 127.0.6533.89 مرورگر Edge را تحت تاثیر قرار میدهند.
توصیههای امنیتی
شرکت مایکروسافت وصلههایی را برای رفع این آسیبپذیریها در آخرین بهروزرسانی خود منتشر کرده است. به کاربران توصیه میشود که بهروزرسانیها را از طریق ویژگی Windows Update یا با مراجعه به وب سایت رسمی مایکروسافت دانلود و نصب کنند. نسخه 127.0.6533.88/89 مرورگر Edge جهت رفع نقصهای امنیتی ذکر شده در دسترس کاربران قرار گرفته است. از کاربران Microsoft Edge خواسته شده است که فورا مرورگرهای خود را بهروز کنند تا از سیستمهای خود در برابر بهرهبرداریهای احتمالی محافظت کنند.
منبع خبر:
https://gbhackers.com/microsoft-patched-a-critical-edge-flaw/
- 104