linux-BR.org

Notícias de software livre e tecnologias

Permitir a injeção de código em domínios como Microsoft.com, Bing.com e MSN.com, embora um caso de uso principal para extensões, seja inerentemente arriscado e deva ser tratado com cuidado.No entanto, é crucial destacar que a interação entre extensões, sites privilegiados e APIs privadas apresenta uma preocupação significativa de segurança dentro da estrutura do cromo.Embora essas extensões sejam proibidas na loja oficial de complementos, sabe-se que atores maliciosos ignoram essas restrições usando técnicas de ofuscação, carregamento dinâmico de código e histórias de capa convincentes.Neste artigo, desdobramos nosso processo de descoberta, mostramos a vulnerabilidade com o código de prova de conceito (POC) direto e refletimos nas implicações mais amplas de segurança.Aqui, descobrimos uma vulnerabilidade que, apesar de sua simplicidade, poderia ter consequências graves se explorar.

Fonte: https://labs.guard.io/cve-2024-21388-microsoft-edges-marketing-api-exploited-for-covert-extension-installation-879fe5ad35ca