MicrosoftEdge的这个安全漏洞可能让黑客安装各种恶意附加程序

MicrosoftEdge存在一个独特漏洞，允许威胁者在未经受害者知情或同意的情况下在浏览器上安装恶意扩展程序。这可能会导致各种安全事故，因为扩展程序可以截取屏幕截图、存储敏感用户数据等。

好消息是，该漏洞于去年被发现，并于今年早些时候得到修补-因此，如果您使用Edge，则很可能已经受到保护以防止此漏洞。

根据TheHackerNews的报道，GuardioLabs的安全研究人员发现了一个权限提升漏洞，目前编号为CVE-2024-21388。该漏洞的严重性评分为6.5，主要原因是Edge被设计为可以访问某些私有API。这种访问权限使得浏览器可以在后台安装附加组件，只要它们来自供应商的扩展商店即可。

其中一个API名为edgeMarketingPagePrivate，它可以执行多种操作，包括从Edge附加组件商店安装主题。理论上，威胁行为者可以欺骗此API来安装恶意扩展程序而不是主题。

该过程如下：威胁者首先需要为Edge创建一个看似无害的插件，该插件会在允许访问API的网站上注入恶意JavaScript代码(例如bing[.]com)。随后，该JavaScript会触发恶意插件的安装，且完全不为人知。

GuardioLabs的研究人员表示，edgeMarketingPagePrivateAPI最初是为了营销目的。

Guardio的研究人员在接受该出版物采访时表示，他们没有发现该漏洞被滥用的证据，但他们补充说，浏览器制造商需要在用户体验和安全性之间找到微妙的平衡。他们警告说，浏览器定制可能会无意中破坏安全机制并引入新的攻击媒介。