Uma falha de segurança agora corrigida no navegador web Microsoft Edge poderia ter sido abusada para instalar extensões arbitrárias nos sistemas dos usuários e realizar ações maliciosas.

Essa falha poderia ter permitido a um atacante explorar uma API privada, inicialmente destinada a fins de marketing, para instalar secretamente extensões adicionais do navegador com amplas permissões sem o conhecimento do usuário.

Rastreada como CVE-2024-21388, ela foi abordada pela Microsoft na versão estável do Edge 121.0.2277.83 lançada em 25 de janeiro de 2024, após uma divulgação responsável em novembro de 2023.

“Um atacante que explorasse com sucesso essa vulnerabilidade poderia obter os privilégios necessários para instalar uma extensão”, disse a Microsoft em um aviso sobre a falha, acrescentando que “isso poderia levar a uma fuga do sandbox do navegador”. Descrevendo-a como uma falha de escalonamento de privilégios, a gigante da tecnologia também enfatizou que a exploração bem-sucedida do bug requer que um atacante “tome ações adicionais antes da exploração para preparar o ambiente alvo”.