Guardio Labs 安全研究员 Oleg Zaytsev 近日发布报告，披露了存在于微软 Edge 浏览器中的高危漏洞，可让攻击者悄然安装恶意扩展程序。微软于 2024 年 1 月 25 日发布的 Edge 121.0.2277.83 中已经修复了该漏洞。

Zaytsev 于 2023 年 11 月向微软报告了该漏洞，追踪编号为 CVE-2024-21388，主要利用原本用于营销目的的私有 API，在用户不知情的情况下，秘密安装具有高级权限的扩展程序。

CVE-2024-21388 漏洞的 CVSS 得分为 6.5 分，微软在发布声明中表示攻击者可以利用该漏洞突破浏览器沙盒，从而获得安装扩展所需的权限。

IT之家附上新闻参考地址

• Microsoft Edge Bug Could Have Allowed Attackers to Silently Install Malicious Extensions

本文转载自IT之家，转载目的在于传递更多信息，并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请联系IT之家通知我方删除，我方将在收到通知后第一时间删除内容！本文只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。