دو آسیبپذیری با شناسههای CVE-2024-26192 با شدت بالا (8.2) و CVE-2024-26188 با شدت متوسط (4.3) در Microsoft Edge کشف شده است. با بهرهبرداری از آسیبپذیری CVE-2024-26192 که یک نقص Information Disclosure یا افشای اطلاعات است، مهاجم میتواند به اطلاعات حساس دسترسی پیدا کند. همچنین با بهرهبرداری از آسیبپذیری CVE-2024-26188، مهاجم قادر به اجرای حمله Spoofing یا جعل است و میتواند دسترسی غیرمجاز پیدا کند.
• بردار حمله برای آسیبپذیری CVE-2024-26192 :
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:L) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و به راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی بالا یا پایین ندارد (PR: N)، به تعامل با کاربر نیز نیاز دارد (UI:R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و با بهرهبرداری از این آسیبپذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار میگیرد.
• بردار حمله برای آسیبپذیری CVE-2024-26188 :
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و به راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی بالا یا پایین ندارد (PR: N)، به تعامل با کاربر نیز نیاز دارد (UI:R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و با بهرهبرداری از این آسیبپذیری، یک ضلع از سه ضلع امنیت را با شدت کم تحت تأثیر قرار میگیرد.
توصیههای امنیتی
به کاربران توصیه میشود مرورگر خود را به آخرین نسخه موجود بهروزرسانی کنند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-26192
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-26188
- 125