Microsoft Edge (Chromium) < 131.0.2903.48 多个漏洞

high Nessus 插件 ID 211402

语言：

简介

远程主机上安装的网页浏览器受到多个漏洞的影响。

描述

远程 Windows 主机上安装的 Microsoft Edge 版本低于 131.0.2903.48，因此，该浏览器会受到 2024 年 11 月 14 日公告中提及的多个漏洞影响。

- Google Chrome 131.0.6778.69 之前版本的 Extensions 中存在实现不当漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面绕过站点隔离。（Chromium 安全严重性：高）(CVE-2024-11110)

- Google Chrome 131.0.6778.69 之前版本的 Autofill 中存在实现不当漏洞，能够诱骗用户使用特定 UI 手势的远程攻击者可能利用此漏洞，通过构建的 HTML 页面发动 UI 欺骗攻击。
（Chromium 安全严重性：中）(CVE-2024-11111)

- Windows 上 Google Chrome 131.0.6778.69 之前版本的 Media 中存在释放后使用漏洞，使远程攻击者可能通过构建的 HTML 页面来利用堆损坏。（Chromium 安全严重性：中）(CVE-2024-11112)

- Google Chrome 131.0.6778.69 之前版本的 Accessibility 中存在释放后使用漏洞，已入侵呈现器程序的远程攻击者可能利用此漏洞，通过构建的 HTML 页面恶意利用堆损坏。（Chromium 安全严重性：中）(CVE-2024-11113)

- 在版本低于 131.0.6778.69 的 Windows 版 Google Chrome 的 Views 中，下载操作存在不当实现，已破坏渲染器进程的远程攻击者可利用此漏洞，通过构建的 HTML 页面，执行沙盒逃逸。（Chromium 安全严重性：中）(CVE-2024-11114)

- iOS 版 Google Chrome 之前版本的 Navigation 中存在策略执行不充分漏洞，远程攻击者 131.0.6778.69 可利用此漏洞，通过系列 UI 手势在执行权限升级攻击。（Chromium 安全严重性：
中）(CVE-2024-11115)

- Google Chrome 131.0.6778.69 之前版本的 Blink 中存在实现不当漏洞，能够诱骗用户使用特定 UI 手势的远程攻击者可能利用此漏洞，通过构建的 HTML 页面发动 UI 欺骗攻击。
（Chromium 安全严重性：中）(CVE-2024-11116)

- Google Chrome 131.0.6778.69 之前版本的文件系统 API 中存在不当实现漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面绕过文件系统限制。（Chromium 安全严重性：低）(CVE-2024-11117)

- Microsoft Edgee（基于 Chromium）信息泄露漏洞 (CVE-2024-49025)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。