کشف چند آسیبپذیری در مرورگر پرکاربرد Microsoft Edge
چند آسیبپذیری با شدتهای مختلف درمرورگر پرکاربرد Microsoft Edge به شرح زیر شناسایی شده است:
• یک آسیبپذیری با شناسه CVE-2024-29991 و شدت 5.0 در Microsoft Edge کشف شده است که مهاجم با ارسال یک فایل مخرب برای کاربر و تلاش در جهت متقاعد کردن وی جهت باز کردن آن، از آسیبپذیری مذکور بهرهبرداری کند.
براساس بردار حمله آسیبپذیری مذکور، CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L، بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، پیچیدگی حمله بالا میباشد(AC:H)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد (UI:R)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، با بهرهبرداری از این آسیبپذیری، سه ضلع امنیت با شدت کمی تحت تأثیر قرار میگیرند(C:L/I:L/A:L ).
• دو آسیبپذیری دیگر نیز با شناسههای CVE-2024-29986 و شدت متوسط (5.4) و CVE-2024-29987 با شدت متوسط (6.5) در این مرورگر گزارش شدهاست. شناسه CVE-2024-29986 مربوط به نسخه اندروید این اپلیکیشن و شناسه CVE-2024-29987 مربوط به نسخه دسکتاپ آن میباشد که بهرهبرداری از هردوی آنها منجر افشای اطلاعات خواهد شد.
CVE-2024-29986: بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد(UI:R). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و دو ضلع از سه ضلع امنیت با شدت کم، تحت تاثیر قرار میگیرند. (C:L/I:L/A:N)
CVE-2024-29987: بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N) بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد(UI:R). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و یک ضلع از سه ضلع امنیت با شدت زیادی، تحت تاثیر قرار میگیرد. (C:H/I:N/A:N)
محصولات تحت تأثیر
شناسه CVE-2024-29991: نسخه 3.15.0 مرورگر Microsoft Edge، تحت تاثیر آسیبپذیری مذکور قرار دارد.
شناسههای CVE-2024-29986 و CVE-2024-29987: نسخههای قبل از 124.0.2478.51 مرورگر مذکور تحتتاثیر این نقص امنیتی قرار دارند.
توصیههای امنیتی
شناسه CVE-2024-29991: به کاربران توصیه میشود مرورگر خود را به نسخه 4.4 ارتقاء دهند.
شناسههای CVE-2024-29986 و CVE-2024-29987: اعمال بهروزرسانی محصول Microsoft Edge به نسخه جدیدتر
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-29991
[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29991
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29986
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29987
- بیشتر بخوانید...
- 101