کشف چند آسیب‌پذیری در مرورگر پرکاربرد Microsoft Edge

چند آسیب‌پذیری با شدت‌های مختلف درمرورگر پرکاربرد Microsoft Edge به شرح زیر شناسایی شده است:

•    یک آسیب‌پذیری با شناسه CVE-2024-29991 و شدت 5.0 در Microsoft Edge کشف شده است که مهاجم با ارسال یک فایل مخرب برای کاربر و تلاش در جهت متقاعد کردن وی جهت باز کردن آن، از آسیب‌پذیری مذکور بهره‌برداری کند. 
براساس بردار حمله آسیب‌پذیری مذکور، CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L، بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، پیچیدگی حمله بالا می‌باشد(AC:H)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد (UI:R)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، با بهره‌برداری از این آسیب‌پذیری، سه ضلع امنیت با شدت کمی تحت تأثیر قرار می‌گیرند(C:L/I:L/A:L ).

•    دو آسیب‌پذیری دیگر نیز با شناسه‌های CVE-2024-29986 و شدت متوسط (5.4) و CVE-2024-29987 با شدت متوسط (6.5) در این مرورگر گزارش شده‌است. شناسه CVE-2024-29986 مربوط به نسخه اندروید این اپلیکیشن و شناسه CVE-2024-29987 مربوط به نسخه دسکتاپ آن می‌باشد که بهره‌برداری از هردوی آن‌ها منجر افشای اطلاعات خواهد شد.
CVE-2024-29986: بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N) بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد(UI:R). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و دو ضلع از سه ضلع امنیت با شدت کم، تحت تاثیر قرار می‌گیرند. (C:L/I:L/A:N)
CVE-2024-29987: بر اساس بردار حمله این آسیب‌پذیری‌ (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N) بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد(UI:R). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U) و یک ضلع از سه ضلع امنیت با شدت زیادی، تحت تاثیر قرار می‌گیرد. (C:H/I:N/A:N)

محصولات تحت تأثیر
شناسه CVE-2024-29991: نسخه 3.15.0 مرورگر Microsoft Edge، تحت تاثیر آسیب‌پذیری مذکور قرار دارد.
شناسه‌های CVE-2024-29986 و CVE-2024-29987: نسخه‌های قبل از 124.0.2478.51 مرورگر مذکور تحت‌تاثیر این نقص امنیتی قرار دارند.

توصیه‌های امنیتی
شناسه CVE-2024-29991: به کاربران توصیه می‌شود مرورگر خود را به نسخه 4.4 ارتقاء دهند.
شناسه‌های CVE-2024-29986 و CVE-2024-29987: اعمال به‌روزرسانی محصول Microsoft Edge به نسخه جدیدتر

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-29991
[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29991
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29986
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29987