Podatność klasy Elevation of Privilege w przeglądarce Microsoft Edge opartej na silniku Chromium umożliwia atakującemu uzyskanie podwyższonych uprawnień w systemie ofiary. Wysoki wynik CVSS (9.6) oraz zakres wpływu obejmujący poufność, integralność i dostępność czynią tę podatność krytyczną.
▸ Pokaż oryginał (EN)
Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability
Podatność sklasyfikowana jest jako CWE-416 (use-after-free), co oznacza że błąd związany jest z nieprawidłowym zarządzaniem pamięcią — obiekt w pamięci może być używany po jego zwolnieniu, co prowadzi do możliwości wykonania niezamierzonego kodu. Wektor ataku wskazuje na scenariusz sieciowy (AV:N) wymagający interakcji użytkownika (UI:R), co sugeruje że ofiara musi np. odwiedzić specjalnie spreparowaną stronę internetową lub otworzyć złośliwy zasób w przeglądarce. Atak nie wymaga żadnych uprawnień po stronie atakującego (PR:N) i ma zasięg wykraczający poza kontekst przeglądarki (S:C — Scope Changed).
Pomyślne wykorzystanie podatności może pozwolić atakującemu na uzyskanie podwyższonych uprawnień w systemie ofiary, potencjalnie wykraczając poza piaskownicę przeglądarki, co może skutkować naruszeniem poufności, integralności i dostępności danych oraz zasobów systemowych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o naprawionych wersjach Microsoft Edge dostępne są pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21326. Zaleca się niezwłoczną aktualizację przeglądarki do najnowszej dostępnej wersji.
Microsoft Edge w wersji opartej na silniku Chromium — konkretne wersje podatne wskazane są w referencjach producenta (Microsoft Security Response Center).
Podatność opublikowana 2024-01-26. Pomimo braku wpisu w CISA KEV, krytyczny wynik CVSS 9.6 oraz zmieniony zakres wpływu (Scope Changed) wskazują na potencjalnie poważne konsekwencje — zalecana pilna aktualizacja.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HMicrosoft Edge
APPMicrosoft< 121.0.2277.83
Powiązane podatności
Integer overflow w Skia w Google Chrome — sandbox escape
Heap buffer overflow in GPU in Google Chrome prior to 107.0.5304.121 allowed a remote attacker who had comprom...
Eskalacja uprawnień w Microsoft Edge (Chromium) — CWE-416 Use-After-Free
Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability
Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability