潜在的网络攻击可能是通过秘密安装的浏览器扩展来实现的,这种攻击利用了早已解决的中等严重性 权限提升漏洞 ,该漏洞存在于 Microsoft Edge 中,信息来源于 The Hacker News。
根据 Guardio Labs 的报告,攻击者可能利用这一缺陷,使其跟踪的漏洞CVE202421388成为可能。他们可以针对私人API,在用户未同意的情况下安装不必要的浏览器扩展,并触发沙箱逃逸攻击。尽管没有证据表明已有活跃的漏洞利用,但该安全问题可能被用来在具有API访问权限的网站上注入恶意JavaScript代码,包括 bingcom。
Guardio Labs 的研究员 Oleg Zaytsev 表示:“攻击者很容易通过欺骗用户安装看似无害的扩展,而用户却没有意识到这实际上是更复杂攻击的第一步。此漏洞可能被利用以便安装更多扩展,从而获得经济利益。”
关键点内容漏洞名称CVE202421388漏洞类型权限提升漏洞漏洞影响可安装恶意扩展、沙箱逃逸目标网站包括 bingcom 等 API 访问网站攻击者手法欺骗用户安装扩展,注入恶意代码为了防止此类攻击,用户应该: 定期更新浏览器和扩展的版本,以确保安全性。 谨慎安装不明来源的浏览器扩展。 使用安全软件监控和报告任何可疑活动。
此文提醒我们,网络安全依然是一个重要课题,用户和开发者都需要保持警惕,以防止潜在的网络威胁。
梯子加速