Microsoft Edge Web 浏览器中现已修补的安全漏洞可能会被滥用，在用户系统上安装任意扩展并执行恶意操作。

Guardio Labs 安全研究员 Oleg Zaytsev在与 The Hacker 分享的一份新报告中表示：“这个缺陷可能允许攻击者利用最初用于营销目的的私有 API，在用户不知情的情况下秘密安装具有广泛权限的其他浏览器扩展。”消息。

该问题被追踪为CVE-2024-21388（CVSS 评分：6.5），并在 2023 年 11 月负责任地披露后，由 Microsoft 在 2024 年 1 月 25 日发布的 Edge 稳定版本 121.0.2277.83 中解决。Windows 制造商将 Zaytsev 和 Jun Kokatsu 归功于报告问题。

微软在针对该缺陷的公告中表示，“成功利用此漏洞的攻击者可以获得安装扩展程序所需的权限”，并补充说它“可能导致浏览器沙箱逃逸”。

这家科技巨头将其描述为一个权限升级缺陷，还强调，成功利用该漏洞需要攻击者“在利用该漏洞之前采取额外的行动来准备目标环境”。

根据 Guardio 的调查结果，CVE-2024-21388 允许能够在 bing[.]com 或 microsoft[.]com 页面上运行 JavaScript 的不良行为者从 Edge Add-ons 商店安装任何扩展，无需用户同意或交互。

这是因为浏览器具有对某些私有 API 的特权访问权限，使得安装来自供应商自己的扩展市场的附加组件成为可能。

基于 Chromium 的 Edge 浏览器中的一个这样的 API 是 edgeMarketingPagePrivate，它可以从属于 Microsoft 的一组列入白名单的网站访问，包括 bing[.]com、microsoft[.]com、microsoftedgewelcome.microsoft[.]com 和 microsoftedgetips .microsoft[.]com 等。

该 API 还包含一个名为 installTheme() 的方法，顾名思义，该方法旨在通过传递唯一主题标识符（“themeId”）及其清单文件作为 input来从 Edge Add-ons 存储安装主题。

文章原文链接:https://www.anquanke.com/post/id/294453