Especialistas en ciberseguridad reportan la detección de al menos 7 vulnerabilidades en Microsoft Edge, el navegador web basado en Chromium que llegó a reemplazar al conocido Internet Explorer. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas tomar control de los sistemas afectados.
A continuación se presentan breves reportes de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-30590: Un error de límite al procesar contenido HTML sin verificar en Bookmarks permitiría a los atacantes remotos redirigir a las víctimas a un sitio web especialmente diseñado para desencadenar un desbordamiento de búfer basado en el montón.
La vulnerabilidad recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría la ejecución de código arbitrario en el sistema afectado.
CVE-2021-30591: Un error use-after-free dentro del componente API del sistema de archivos en Google Chrome permitiría a los actores de amenazas remotos redirigir a los usuarios a sitios web maliciosos y ejecutar código arbitrario en el sistema objetivo.
La falla recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría a los actores de amenazas comprometer el sistema objetivo.
CVE-2021-30592: Un error de límite al procesar contenido HTML que no es de confianza en Tab Groups permitiría a los atacantes remotos redirigir a los usuarios a sitios web maliciosos para ejecutar código arbitrario en el sistema objetivo.
Esta falla recibió un puntaje CVSS de 7.7/10.
CVE-2021-30593: Una condición de límite dentro del componente Tab Strip en Google Chrome permitiría a los hackers remotos enviar a los usuarios a sitios web maliciosos.
La falla recibió un puntaje CVSS de 5.7/10 y su explotación permitiría a los actores de amenazas acceder a información confidencial.
CVE-2021-30594: Un error use-after-free dentro del componente de la interfaz de usuario de información de la página en Google Chrome permitiría a los hackers remotos ejecutar código arbitrario en los sistemas afectados mediante el uso de sitios web especialmente diseñados.
Esta vulnerabilidad recibió un puntaje CVSS de 7.7/10.
CVE-2021-30596: La validación insuficiente de la entrada proporcionada por el usuario en Google Chrome Navigation permitirá a los actores de amenazas falsificar el contenido de algunos sitios web afectados.
La vulnerabilidad recibió un puntaje CVSS de 4.7/10.
CVE-2021-30597: Un error use-after-free en la interfaz de usuario del navegador en Google Chrome permitiría a los hackers remotos obtener acceso a información confidencial.
Esta vulnerabilidad recibió un puntaje CVSS de 5.7/10.
Todas las fallas reportadas residen en las siguientes versiones de Microsoft Edge: 79.0.309.71, 83.0.478.37, 84.0.522.40, 86.0.622.43, 86.0.622.48, 86.0.622.51, 86.0.622.56, 86.0.622.58, 86.0.622.61, 86.0.622.63, 86.0.622.68, 86.0.622.69, 87.0.664.41, 87.0.664.47, 87.0.664.52, 87.0.664.55, 87.0.664.57, 87.0.664.60, 87.0.664.66, 87.0.664.75, 88.0.705.50, 88.0.705.53, 88.0.705.56, 88.0.705.62, 88.0.705.63, 88.0.705.68, 88.0.705.74, 88.0.705.81, 89.0.774.45, 89.0.774.48, 89.0.774.50, 89.0.774.54, 89.0.774.57, 89.0.774.63, 89.0.774.68, 89.0.774.75, 89.0.774.76, 89.0.774.77, 90.0.818.39, 90.0.818.41, 90.0.818.42, 90.0.818.46, 90.0.818.49, 90.0.818.51, 90.0.818.56, 90.0.818.62, 90.0.818.66, 91.0.864.37, 91.0.864.41, 91.0.864.48, 91.0.864.54, 91.0.864.59, 91.0.864.64, 91.0.864.67, 91.0.864.71, 92.0.902.55 y 92.0.902.62.
Si bien estas vulnerabilidades pueden ser explotadas por actores remotos no autenticados a través de Internet, los investigadores no han detectado intentos de explotación en escenarios reales. Las actualizaciones ya están listas para ser instaladas, por lo que se recomienda a los usuarios de Microsoft Edge actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).