O vulnerabilitate a Microsoft Edge permite executarea de cod arbitrar
Sursă: https://cybersecuritynews.com
Microsoft a dezvăluit o nouă vulnerabilitate de securitate în Microsoft Edge (bazat pe Chromium) care ar putea permite unui atacator la distanță să execute cod arbitrar pe sistemele afectate.
Identificată ca CVE-2026-57992, vulnerabilitatea provine dintr-o eroare de corupere a memoriei de tip use-after-free (UAF) și are un scor CvSS de 7.5/10 (high).
CVE-2026-57992 este clasificată ca o vulnerabilitate critică de tip Use-After-Free care afectează motorul Chromium al browserului Microsoft Edge. Vulnerabilitatea permite unui atacator neautorizat să execute cod prin rețea, determinând un utilizator să acceseze o pagină web malițioasă concepută în acest scop.
Vectorul de atac este bazat pe rețea, necesită interacțiunea utilizatorului și prezintă un grad ridicat de complexitate.
Exploatarea are loc atunci când un atacator găzduiește un site web special creat care declanșează condiția UAF în motorul de redare al Edge.
Deoarece atacatorii nu pot forța utilizatorii să acceseze conținut rău intenționat, aceștia se bazează de obicei pe inginerie socială, atrăgându-i pe aceștia prin e-mailuri de phihsing, mesaje instantanee sau fișiere atașate rău intenționate.
Dacă este exploatată cu succes, vulnerabilitatea CVE-2026-57992 ar putea duce la compromiterea completă a sistemului, oferind atacatorilor posibilitatea de a executa cod arbitrar în contextul procesului browserului.
Întrucât în prezent nu este disponibil niciun patch oficial, instituțiile și utilizatorii ar trebui:
- să îi instruiască pe utilizatori cu privire la evitarea link-urilor și a fișierelor atașate malițioase;
- să activeze funcțiile de securitate ale browser-ului, cum ar fi Enhaced Security Mode, acolo unde este posibil;
- să restricționeze funcționalitatea autofill, ca măsură temporară de atenuare.
Sursă: https://cybersecuritynews.com/microsoft-edge-flaw-code-execution/
