微软Edge 浏览器发现高危漏洞 私有API助攻击者突破浏览器沙盒

2024-03-30 13:40:38 作者：姚立伟

近日，据安全研究员 Oleg Zaytsev 报告称，微软 Edge 浏览器存在一个高危漏洞，可能被攻击者用于安装恶意扩展程序。该漏洞存在于2024年1月25日发布的Edge 121.0.2277.83版本中，并已得到修复。

Zaytsev在2023年11月向微软报告了这个漏洞，追踪编号为CVE-2024-21388。据悉，此漏洞利用了私有API，在用户不知情的情况下秘密安装具有高级权限的扩展程序。这种攻击手段的得分是6.5分。

微软在声明中表示，攻击者可以利用这个漏洞突破浏览器沙盒，并获得安装扩展所需的权限。对于那些仍在使用或计划使用Edge浏览器的用户来说，建议尽快升级到最新版本以确保安全性。