Microsoft исправила уязвимость в Edge, позволявшую обходить защиту и перехватывать данные

Microsoft Edge

Корпорация Microsoft выпустила внеплановое обновление безопасности для браузера Microsoft Edge (на базе Chromium). Патч устраняет уязвимость CVE-2026-58525, которая давала возможность удалённому злоумышленнику обходить встроенные механизмы защиты браузера и получать доступ к чувствительной информации. Проблеме присвоен высокий уровень опасности по шкале CVSS (8,2 балла). Обновление уже доступно для загрузки, и компания настоятельно рекомендует установить его как можно скорее.

Уязвимость CVE-2026-58525

Уязвимость существует в версиях Edge до 150.0.4078.50. Причиной её появления стал некорректный контроль доступа (CWE-284). Атакующий мог разместить в сети специально сформированную веб-страницу, содержащую вредоносный код. Для успешной эксплуатации жертве необходимо было открыть эту страницу в уязвимой версии браузера, а затем выполнить два последовательных жеста касания (например, двойное нажатие или пролистывание), которые активировали функцию автоматического заполнения форм. После этого злоумышленник получал возможность обойти ожидаемые пользовательские ограничения безопасности.

По оценке Microsoft, при успешной атаке нарушитель мог получить доступ к данным, хранящимся в автозаполнении Edge, включая логины, пароли, номера банковских карт и другую конфиденциальную информацию. При этом целостность некоторых данных могла быть частично изменена, но работоспособность системы не нарушалась. Согласно метрикам CVSS, воздействие на конфиденциальность оценивается как высокое, на целостность - как низкое, на доступность - как отсутствующее.

Особенностью данной уязвимости является то, что она затрагивает не только изолированную среду самого браузера, но и другие ресурсы, находящиеся за пределами его зоны ответственности (изменённая область воздействия - Scope Changed). Это означает, что атакующий мог получить доступ не только к данным, обрабатываемым Edge, но и к информации в сторонних приложениях или системах, которые взаимодействуют с браузером через стандартные механизмы автозаполнения.

Обновление безопасности выпущено 8 июля 2026 года. Оно входит в состав версии Edge 150.0.4078.50, построенной на Chromium 150.0.7871.47. Для установки достаточно перезапустить браузер - при наличии активного интернет-соединения обновление загрузится автоматически. Также можно загрузить патч вручную через центр обновлений Microsoft или корпоративный канал управления обновлениями. Администраторам корпоративных сетей рекомендуется как можно быстрее развернуть исправление на всех рабочих станциях, использующих уязвимую версию.

Разработчики браузера выразили благодарность исследователям безопасности, обнаружившим проблему. В отчёте упоминаются специалисты под псевдонимом Kugelblitz из Microsoft и компания XBreach.ai, занимающаяся кибербезопасностью. Данные об уязвимости не были публично раскрыты до выхода патча, и, по информации Microsoft, на момент публикации обновления случаев её активной эксплуатации в реальных атаках зафиксировано не было. Тем не менее компания классифицировала угрозу как "Важная" (Important), подчеркнув, что атака могла быть проведена удалённо с минимальными техническими навыками и без привилегий.

Пользователям, которые по каким-либо причинам не могут немедленно обновиться, специалисты рекомендуют временно отключить функцию автозаполнения форм в настройках браузера (раздел "Пароли и автозаполнение"). Также стоит проявлять осторожность при переходе по ссылкам из непроверенных источников, особенно если они сопровождаются просьбой нажать на кнопку или совершить какие-либо действия в браузере.

Это уже не первый случай, когда механизмы автозаполнения в браузерах становятся вектором для атак. В прошлом году исследователи выявили несколько уязвимостей подобного класса в Chrome и Firefox, которые также приводили к утечке данных после взаимодействия пользователя с подконтрольной страницей. Регулярное обновление браузеров остаётся ключевой мерой защиты от таких угроз, особенно в условиях, когда злоумышленники продолжают совершенствовать методы социальной инженерии.

Ссылки

Комментарии: 0