Microsoft Edge (Chromium) < 108.0.1462.42 多个漏洞

high Nessus 插件 ID 171333

语言：

简介

远程主机上安装的网页浏览器受到多个漏洞的影响。

描述

远程 Windows 主机上安装的 Microsoft Edge 版本低于 108.0.1462.42。因此，该主机会受到 2022 年 12 月 5 日公告中提及的多个漏洞影响。

- 在 Google Chrome 108.0.5359.71 之前的版本中，V8 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过特制的 HTML 页面来利用堆损坏。（Chromium 安全严重性：高）(CVE-2022-4174)

- 在 Google Chrome 108.0.5359.71 之前的版本中，Camera Capture 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。（Chromium 安全严重性：高）(CVE-2022-4175)

- Google Chrome 108.0.5359.71 之前版本的 Extensions 中存在释放后使用漏洞，成功诱骗用户安装扩展程序的攻击者可能利用此漏洞，通过构建的 Chrome 扩展程序和用户交互来利用堆损坏。（Chromium 安全严重性：高）(CVE-2022-4177)

- Google Chrome 108.0.5359.71 之前版本的 Mojo 中存在释放后使用漏洞，已入侵呈现器程序的远程攻击者可能利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。（Chromium 安全严重性：高）(CVE-2022-4178)

- Google Chrome 108.0.5359.71 之前版本的 Audio 中存在释放后使用漏洞，成功诱骗用户安装恶意扩展的攻击者可能利用此漏洞，通过构建的 Chrome 扩展程序恶意利用堆损坏。
（Chromium 安全严重性：高）(CVE-2022-4179)

- Google Chrome 108.0.5359.71 之前版本的 Mojo 中存在释放后使用漏洞，成功诱骗用户安装恶意扩展的攻击者可能利用此漏洞，通过构建的 Chrome 扩展程序恶意利用堆损坏。
（Chromium 安全严重性：高）(CVE-2022-4180)

- 在 Google Chrome 108.0.5359.71 之前的版本中，Forms 中存在释放后使用漏洞，该漏洞让远程攻击者可能通过构建的 HTML 页面来利用堆损坏。（Chromium 安全严重性：高）(CVE-2022-4181)

- Google Chrome 108.0.5359.71 之前版本的 Fenced Frames 中存在实现不当漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面绕过 fenced frame 限制。（Chromium 安全严重性：中）(CVE-2022-4182)

- Google Chrome 108.0.5359.71 之前版本的 Popup Blocker 中存在策略执行不充分问题，远程攻击者可利用此问题，通过构建的 HTML 页面来绕过导航限制。（Chromium 安全严重性：中）(CVE-2022-4183)

- Google Chrome 108.0.5359.71 之前版本的 Autofill 中存在策略执行不充分问题，远程攻击者可利用此问题，通过构建的 HTML 页面来绕过 autofill 限制。（Chromium 安全严重性：中）(CVE-2022-4184)

- iOS 版 Google Chrome 108.0.5359.71 之前版本的 Navigation 中存在不当实现漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面伪造模态对话框内容。（Chromium 安全严重性：
中）(CVE-2022-4185)

- Google Chrome 108.0.5359.71 之前版本的 Downloads 中存在不受信任的输入验证不充分漏洞，已诱骗用户安装恶意扩展程序的攻击者可能利用此漏洞，通过构建的 HTML 页面绕过 Downloads 限制。（Chromium 安全严重性：中）(CVE-2022-4186)

- Windows 版的 Google Chrome 108.0.5359.71 之前版本的 DevTools 中存在策略执行不充分问题，远程攻击者可利用此问题，通过构建的 HTML 页面来绕过文件系统限制。（Chromium 安全严重性：
中）(CVE-2022-4187)

- Android 版的 Google Chrome 108.0.5359.71 之前版本的 CORS 中存在不受信任的输入验证不足漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面绕过同源策略。（Chromium 安全严重性：中）(CVE-2022-4188)

- Google Chrome 108.0.5359.71 之前版本的 DevTools 中存在策略执行不充分漏洞，已诱骗用户安装恶意扩展程序的攻击者可能利用此漏洞，通过构建的 Chrome 扩展程序绕过导航限制。（Chromium 安全严重性：中）(CVE-2022-4189)

- Google Chrome 108.0.5359.71 之前版本的 Directory 中存在数据验证不充分问题，远程攻击者可利用此问题，通过构建的 HTML 页面来绕过文件系统限制。（Chromium 安全严重性：中）(CVE-2022-4190)

- Google Chrome 108.0.5359.71 之前版本的 Sign-In 中存在释放后使用漏洞，成功诱骗用户参与特定 UI 交互的远程攻击者可能利用此漏洞，通过配置文件析构利用堆损坏。（Chromium 安全严重性：中）(CVE-2022-4191)

- Google Chrome 108.0.5359.71 之前版本的 Live Caption 中存在释放后使用漏洞，成功诱骗用户参与特定 UI 交互的远程攻击者可能利用此漏洞，通过 UI 交互来利用堆损坏。（Chromium 安全严重性：中）(CVE-2022-4192)

- Google Chrome 108.0.5359.71 之前版本的 File System API 中存在策略执行不充分问题，远程攻击者可利用此问题，通过构建的 HTML 页面来绕过文件系统限制。（Chromium 安全严重性：
中）(CVE-2022-4193)

- 在 Google Chrome 108.0.5359.71 之前的版本中，Accessibility 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。（Chromium 安全严重性：中）(CVE-2022-4194)

- 在低于 108.0.5359.71 的 Google Chrome 中，安全浏览的策略执行不充分，允许远程攻击者通过恶意文件绕过安全浏览警告。（Chromium 安全严重性：中）(CVE-2022-4195)

- 在 Google Chrome 108.0.5359.94 之前的版本中，V8 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过特制的 HTML 页面来利用堆损坏。（Chromium 安全严重性：高）(CVE-2022-4262)

- Microsoft Edge（基于 Chromium）欺骗漏洞。(CVE-2022-44688)

- Microsoft Edgee（基于 Chromium）特权升级漏洞。(CVE-2022-44708)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。