Microsoft Edge, un navegador web ampliamente utilizado por millones de usuarios en todo el mundo, no está exento de vulnerabilidades de seguridad, como cualquier otro programa.
En una investigación reciente, Microsoft ha solucionado TRES vulnerabilidades en su navegador basado en Chromium. Estas vulnerabilidades podrían haber posibilitado a los atacantes la capacidad de falsificar sitios web, obtener niveles de acceso más altos en el sistema o incluso evadir las medidas de seguridad del navegador.
Detalle de vulnerabilidades
- CVE-2023-36735 → Puntaje base CVSS: 9.6 (Crítica)
Esta vulnerabilidad permite una fuga del entorno aislado (sandbox) del navegador. Esta es una característica de seguridad, sirve para separar los sitios web unos de otros y del sistema operativo subyacente. Si un atacante lograra eludir esta barrera, tendría la posibilidad de acceder al resto del sistema y causar posibles daños significativos.
Para explotar la vulnerabilidad un atacante requeriría persuadir a la víctima para que visite un sitio web diseñado específicamente con este propósito. Esta vulnerabilidad podría emplearse para ejecutar código remoto con privilegios superiores y, de esta manera, evadir el sandbox del navegador.
- CVE-2023-36562 → Puntaje base CVSS: 7.1 (Alta)
Esta vulnerabilidad podría dar lugar a que un atacante remoto adquiera permisos superiores en el sistema. Esto les permitiría a los atacantes, instalar software malicioso, sustraer información confidencial o incluso obtener un control total sobre el sistema.
Para aprovechar esta vulnerabilidad, un atacante necesitaría persuadir a la víctima para que acceda a un sitio web especialmente creado con este fin o abra un archivo diseñado específicamente. De esta manera, el atacante podría utilizar la vulnerabilidad para ejecutar código remoto con privilegios más elevados.
- CVE-2023-36727 → Puntaje base CVSS: 6.1 (Media)
La vulnerabilidad podría habilitar a un atacante remoto para llevar a cabo ataques de suplantación de identidad. Los ataques de suplantación de identidad implican que un atacante intente hacer que un sitio web o correo electrónico parezca provenir de una fuente legítima, cuando en realidad no lo es. Esta artimaña se emplea con el propósito de engañar a los usuarios para que revelen información personal, como contraseñas o números de tarjetas de crédito, o para facilitar la descarga de software malicioso.
Para explotar esta vulnerabilidad, el atacante necesitaría persuadir a la víctima para que haga click en una URL diseñada. Una vez que la víctima haga click en el enlace, será redirigida a un sitio web malicioso que está meticulosamente diseñado para simular un sitio legítimo. Desde este sitio, el atacante podría obtener información personal de la víctima o descargar malware en su computadora.
Versiones afectadas
- Microsoft Edge (basado en Chromium) en sus versiones anteriores a 117.0.5938.62/63.
Solución
- Para Microsoft Edge (basado en Chromium) actualizar a la versión 117.0.5938.62/63 o versiones posteriores.
- Para Microsoft Edge actualizar a la versión mas actual (117.0.2045.31 o superiores).
Recomendaciones
- Se recomienda a los usuarios descargar e instalar la última actualización disponible de Microsoft Edge para así mitigar riesgos potenciales.
Referencias:
- https://securityonline.info/cve-2023-36735-microsoft-edge-flaw-let-attackers-execute-arbitrary-code/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36735
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36562
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36727
- https://www.cvedetails.com/cve/CVE-2023-36735/
- https://www.cvedetails.com/cve/CVE-2023-36562/
- https://www.cvedetails.com/cve/CVE-2023-36727/