–
Lỗ hổng này ảnh hưởng đến trình duyệt web Microsoft Edge dựa trên Chromium trước phiên bản 121.0.2277.83.
Cụ thể, lỗ hổng CVE-2024-21388 cho phép kẻ tấn công sử dụng một API riêng tư trong trình duyệt để cài đặt các tiện ích mở rộng bổ sung trên hệ thống mà không cần sự tương tác của người dùng.
API này là edgeMarketingPagePrivate, được truy cập từ một số trang web thuộc sở hữu của Microsoft như bing.com, microsoft.com, microsoftedgewelcome.microsoft.com và microsoftedgetips.microsoft.com.
Ngoài ra, Microsoft cho biết lỗ hổng này có thể dẫn đến việc thoát khỏi cơ chế bảo mật của trình duyệt và nhấn mạnh điều kiện cần là kẻ tấn công phải thực hiện các hành động bổ sung trước khi khai thác để chuẩn bị môi trường mục tiêu.
Hiện chưa có dấu hiệu về việc lỗ hổng này đang bị khai thác trên thực tế.
Microsoft đã phát hành phiên bản Edge 121.0.2277.83 để vá lỗ hổng CVE-2024-21388 vào ngày 25 tháng 1 năm 2024. Vì vậy, người dùng được khuyến cáo nên cài đặt các bản cập nhật mới nhất giúp bảo vệ hệ thống khỏi các cuộc tấn công.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
