Microsoft ha publicado una vulnerabilidad de inyección de código rastreada como CVE-2023-21796 (CSSS 8.3) que podría conducir a un «browser sandbox escape».
La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino, esta falla existe debido a una validación de entrada incorrecta, un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada y ejecute código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
Según la métrica CVSS, la complejidad del ataque es alta, la explotación exitosa de esta vulnerabilidad requiere que un atacante realice acciones adicionales antes de la explotación para preparar el entorno de destino. También se necesita la interacción del usuario, tendría que hacer clic en una URL especialmente diseñada para ser comprometido por el atacante.
No hay ningún código de explotación disponible. El proveedor a puesto a disposición una solución completa de esta vulnerabilidad mediante una actualización disponible en su página oficial.
Versiones de software vulnerables
Microsoft Edge: 79.0.309.71 – 108.0.1462.76
Recomendaciones
- Descargar e instalar la última actualización disponible de Microsoft Edge.
Referencias