WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
CVE-2023-35618: Lỗ hổng nghiêm trọng thoát được sandbox của trình duyệt Edge
Microsoft vừa phát hành bản cập nhật ổn định cho Microsoft Edge (phiên bản 120.0.2210.61) để xử lý nhiều lỗ hổng cho phép kẻ tấn công thực thi mã từ xa, leo thang đặc quyền hoặc tiết lộ thông tin nhạy cảm trên các hệ thống bị ảnh hưởng.
CVE-2023-38174 (điểm CVSS 4.3): Lỗ hổng tiết lộ thông tin trong Microsoft Edge nhưng chưa đến mức để lộ dữ liệu nhạy cảm.
CVE-2023-36880 (CVSS 4.8): Một lỗ hổng tiết lộ thông tin khác, tương tự như CVE-2023-38174 với rủi ro hạn chế khi tiết lộ thông tin nhạy cảm. Lỗ hổng này cần môi trường thông tin cụ thể và các bước chuẩn bị của kẻ tấn công mới có thể khai thác thành công.
CVE-2023-35618 (điểm CVSS 9.6): Lỗ hổng leo thang đặc quyền nghiêm trọng dẫn đến việc thoát được cơ chế bảo mật sandbox, cho phép kẻ tấn công lưu trữ hoặc sử dụng các website bị xâm nhập để khai thác lỗ hổng. Tuy nhiên, điểm hạn chế của lỗ hổng này là cần có tương tác của người dùng như nhấp vào một đường dẫn và nếu khai thác thành công sẽ cấp cho kẻ tấn công đặc quyền nâng cao để thực thi mã.
Hai lỗ hổng tiết lộ thông tin CVE-2023-38174 và CVE-2023-36880 được đánh giá có mức độ thấp. Còn CVE-2023-35618 lại mang đến rủi ro đáng kể, nếu bị khai thác thành công có thể cho phép kẻ tấn công toàn quyền kiểm soát hệ thống và đánh cắp dữ liệu.
Người dùng cần cập nhật trình duyệt Microsoft Edge lên phiên bản mới nhất (120.0.2210.61) sớm nhất có thể. Các bước cập nhật như sau:
1. Mở trình duyệt
2. Nhấp vào biểu tượng ba chấm trên góc phải của cửa sổ trình duyệt.
3. Lựa chọn Help and feedback > About Microsoft Edge.
4. Trình duyệt sẽ tự động kiểm tra bản cập nhật. Nếu bản cập nhật khả dụng, nó sẽ được tải về và cài đặt tự động.
CVE-2023-38174 (điểm CVSS 4.3): Lỗ hổng tiết lộ thông tin trong Microsoft Edge nhưng chưa đến mức để lộ dữ liệu nhạy cảm.
CVE-2023-36880 (CVSS 4.8): Một lỗ hổng tiết lộ thông tin khác, tương tự như CVE-2023-38174 với rủi ro hạn chế khi tiết lộ thông tin nhạy cảm. Lỗ hổng này cần môi trường thông tin cụ thể và các bước chuẩn bị của kẻ tấn công mới có thể khai thác thành công.
CVE-2023-35618 (điểm CVSS 9.6): Lỗ hổng leo thang đặc quyền nghiêm trọng dẫn đến việc thoát được cơ chế bảo mật sandbox, cho phép kẻ tấn công lưu trữ hoặc sử dụng các website bị xâm nhập để khai thác lỗ hổng. Tuy nhiên, điểm hạn chế của lỗ hổng này là cần có tương tác của người dùng như nhấp vào một đường dẫn và nếu khai thác thành công sẽ cấp cho kẻ tấn công đặc quyền nâng cao để thực thi mã.
Hai lỗ hổng tiết lộ thông tin CVE-2023-38174 và CVE-2023-36880 được đánh giá có mức độ thấp. Còn CVE-2023-35618 lại mang đến rủi ro đáng kể, nếu bị khai thác thành công có thể cho phép kẻ tấn công toàn quyền kiểm soát hệ thống và đánh cắp dữ liệu.
Người dùng cần cập nhật trình duyệt Microsoft Edge lên phiên bản mới nhất (120.0.2210.61) sớm nhất có thể. Các bước cập nhật như sau:
1. Mở trình duyệt
2. Nhấp vào biểu tượng ba chấm trên góc phải của cửa sổ trình duyệt.
3. Lựa chọn Help and feedback > About Microsoft Edge.
4. Trình duyệt sẽ tự động kiểm tra bản cập nhật. Nếu bản cập nhật khả dụng, nó sẽ được tải về và cài đặt tự động.
Theo Security Online