CRITICAL✓ PATCH🇬🇧 English

CVE-2024-21326

Eskalacja uprawnień w Microsoft Edge (Chromium) — CVE-2024-21326

CVSS 9.6v3.1pub. 2024-01-26upd. 2024-11-21

Podatność klasy Elevation of Privilege w przeglądarce Microsoft Edge opartej na silniku Chromium umożliwia atakującemu uzyskanie podwyższonych uprawnień w systemie ofiary. Wysoki wynik CVSS (9.6) oraz zakres wpływu obejmujący poufność, integralność i dostępność czynią tę podatność krytyczną.

Pokaż oryginał (EN)

Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jest jako CWE-416 (use-after-free), co oznacza że błąd związany jest z nieprawidłowym zarządzaniem pamięcią — obiekt w pamięci może być używany po jego zwolnieniu, co prowadzi do możliwości wykonania niezamierzonego kodu. Wektor ataku wskazuje na scenariusz sieciowy (AV:N) wymagający interakcji użytkownika (UI:R), co sugeruje że ofiara musi np. odwiedzić specjalnie spreparowaną stronę internetową lub otworzyć złośliwy zasób w przeglądarce. Atak nie wymaga żadnych uprawnień po stronie atakującego (PR:N) i ma zasięg wykraczający poza kontekst przeglądarki (S:C — Scope Changed).

Skutki

Pomyślne wykorzystanie podatności może pozwolić atakującemu na uzyskanie podwyższonych uprawnień w systemie ofiary, potencjalnie wykraczając poza piaskownicę przeglądarki, co może skutkować naruszeniem poufności, integralności i dostępności danych oraz zasobów systemowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o naprawionych wersjach Microsoft Edge dostępne są pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21326. Zaleca się niezwłoczną aktualizację przeglądarki do najnowszej dostępnej wersji.

Kogo dotyczy

Microsoft Edge w wersji opartej na silniku Chromium — konkretne wersje podatne wskazane są w referencjach producenta (Microsoft Security Response Center).

Uwagi

Podatność opublikowana 2024-01-26. Pomimo braku wpisu w CISA KEV, krytyczny wynik CVSS 9.6 oraz zmieniony zakres wpływu (Scope Changed) wskazują na potencjalnie poważne konsekwencje — zalecana pilna aktualizacja.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Microsoft Edge

    APP
    Microsoft
    < 121.0.2277.83
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2023-6345CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Integer overflow w Skia w Google Chrome — sandbox escape

CVE-2022-4135CRITICAL9.6⚠ KEVten sam produkt

Heap buffer overflow in GPU in Google Chrome prior to 107.0.5304.121 allowed a remote attacker who had comprom...

CVE-2023-35618CRITICAL9.6PL ✓ten sam produkt

Eskalacja uprawnień w Microsoft Edge (Chromium) — CWE-416 Use-After-Free

CVE-2023-36735CRITICAL9.6ten sam produkt

Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability

CVE-2022-33649CRITICAL9.6ten sam produkt

Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability