Alertas

Vulnerabilidades en Microsoft Edge

06 Jun 2023

INTRODUCCIÓN

Se han descubierto múltiples vulnerabilidades en Microsoft Edge. Permiten a un atacante saltarse la política de seguridad y elevar privilegios entre otros.

Microsoft es consciente de la posibilidad de que estas vulnerabilidades estén siendo explotadas.

De las vulnerabilidades descubiertas, sólo dos tienen información detallada. Esta nota se centrará en la más crítica.

ANÁLISIS

CVE-2023-33143 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:H - 7.5:

La explotación de la vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado.

En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando el archivo especialmente diseñado al usuario y convenciéndolo de que lo abra.

En un escenario de ataque basado en web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad.

Un atacante no tendría forma de forzar a los usuarios a visitar el sitio web. En su lugar, el atacante tendría que convencer a los usuarios para que hicieran clic en un enlace, normalmente mediante un señuelo en un correo electrónico o mensaje instantáneo, y luego convencerles para que abrieran el archivo especialmente diseñado.

La explotación con éxito de esta vulnerabilidad requiere que el usuario haga clic en una URL maliciosa o en un enlace incrustado en un mensaje de correo electrónico, lo que podría provocar una denegación de servicio (DOS) o el bloqueo del navegador. La información del navegador de la víctima asociada a la URL vulnerable puede ser leída por el código JavaScript malicioso y enviada al atacante. Por último, podría conducir a un escape de la caja de arena del navegador.

VERSIONES AFECTADAS

Versiones de Microsoft Edge anteriores a 114.0.1823.37

RECOMENDACIONES

Actualice a la versión 114.0.1823.37 de Microsoft Edge

REFERENCIAS