Microsoft Edge (Chromium) < 111.0.1661.41 / 110.0.1587.69 多个漏洞

high Nessus 插件 ID 172572

语言：

简介

远程主机上安装的网页浏览器受到多个漏洞的影响。

描述

远程 Windows 主机上安装的 Microsoft Edge 版本低于 111.0.1661.41 / 110.0.1587.69。因此，其会受到 2023 年 3 月 13 日公告中提及的多个漏洞影响。

- Google Chrome 111.0.5563.64 之前版本的 Swiftshader 中存在释放后使用漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。（Chromium 安全严重性：高）(CVE-2023-1213)

- 在 Google Chrome 111.0.5563.64 之前的版本中，V8 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过特制的 HTML 页面来利用堆损坏。（Chromium 安全严重性：高）(CVE-2023-1214)

- Google Chrome 111.0.5563.64 之前版本的 CSS 中存在类型混淆漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。（Chromium 安全严重性：高）(CVE-2023-1215)

- Google Chrome 111.0.5563.64 之前版本的 DevTools 中存在释放后使用漏洞，成功诱骗用户参与直接 UI 交互的远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。（Chromium 安全严重性：高）(CVE-2023-1216)

- Windows 版 Google Chrome 111.0.5563.64 之前版本的崩溃报告中存在堆栈缓冲区溢出漏洞，已入侵渲染器进程的远程攻击者可利用此漏洞，通过构建的 HTML 页面从进程内存中获取潜在的敏感信息。（Chromium 安全严重性：高）(CVE-2023-1217)

- 在 Google Chrome 111.0.5563.64 之前的版本中，WebRTC 中存在释放后使用漏洞，使远程攻击者有可能通过构建的 HTML 页面来利用堆损坏。（Chromium 安全严重性：高）(CVE-2023-1218)

- Google Chrome 111.0.5563.64 之前版本的 Metrics 中存在堆缓冲区溢出漏洞，已入侵渲染器进程的远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。（Chromium 安全严重性：高）(CVE-2023-1219)

- Google Chrome 111.0.5563.64 之前版本的 UMA 中存在堆缓冲区溢出漏洞，已入侵渲染器进程的远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。（Chromium 安全严重性：高）(CVE-2023-1220)

- Google Chrome 111.0.5563.64 之前版本的 Extensions API 中存在策略执行不充分漏洞，已诱骗用户安装恶意扩展程序的攻击者可能利用此漏洞，通过构建的 Chrome 扩展程序绕过导航限制。（Chromium 安全严重性：中）(CVE-2023-1221)

- Google Chrome 111.0.5563.64 之前版本的 Web Audio API 中存在堆缓冲区溢出漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面利用堆损坏。（Chromium 安全严重性：中）(CVE-2023-1222)

- Android 版 Google Chrome 111.0.5563.64 之前版本的 Autofill 中存在策略执行不充分漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面泄露跨源数据。（Chromium 安全严重性：中）(CVE-2023-1223)

- Google Chrome 111.0.5563.64 之前版本的 Web Payments API 中存在策略执行不充分问题，远程攻击者可利用此问题，通过构建的 HTML 页面绕过导航限制。（Chromium 安全严重性：
中）(CVE-2023-1224)

- Android 版 Google Chrome 111.0.5563.64 之前版本的 Intents 中存在策略执行不充分问题，远程攻击者可利用此问题，通过构建的 HTML 页面绕过导航限制。（Chromium 安全严重性：
中）(CVE-2023-1228)

- Google Chrome 111.0.5563.64 之前版本的 Permission 提示中存在实现不当漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面绕过导航限制。（Chromium 安全严重性：
中）(CVE-2023-1229)

- Android 版 Google Chrome 111.0.5563.64 之前版本的 WebApp Installs 中存在实现不当漏洞，成功诱骗用户安装恶意 WebApp 的攻击者可利用此漏洞，通过构建的 HTML 页面伪造 PWA 安装程序的内容。（Chromium 安全严重性：中）(CVE-2023-1230)

- Android 版 Google Chrome 111.0.5563.64 之前版本的 Autofill 中存在不当实现漏洞，远程攻击者可能利用此漏洞，通过构建的 HTML 页面伪造 Omnibox 的内容。（Chromium 安全严重性：中）(CVE-2023-1231)

- Google Chrome 111.0.5563.64 之前版本的 Resource Timing 中存在策略执行不充分漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面获取潜在的敏感信息。（Chromium 安全严重性：低） (CVE-2023-1232)

- Google Chrome 111.0.5563.64 之前版本的 Resource Timing 中存在策略执行不充分漏洞，诱骗用户安装恶意扩展的攻击者可利用此漏洞，通过构建的 Chrome 扩展从 API 获取潜在的敏感信息。（Chromium 安全严重性：低） (CVE-2023-1233)

- Android 版 Google Chrome 111.0.5563.64 之前版本的 Intents 中存在实现不当漏洞，远程攻击者可利用此漏洞，通过构建的 HTML 页面发动域欺骗攻击。（Chromium 安全严重性：低） (CVE-2023-1234)

- Google Chrome 111.0.5563.64 之前版本的 DevTools 中存在类型混淆漏洞，已入侵渲染器进程的远程攻击者可能利用此漏洞，通过构建的 UI 交互恶意利用堆损坏。
（Chromium 安全严重性：低） (CVE-2023-1235)

- Google Chrome 111.0.5563.64 之前版本的 Internals 中存在不当实现问题，远程攻击者可利用此漏洞，通过构建的 HTML 页面伪造 iframe 源。（Chromium 安全严重性：低） (CVE-2023-1236)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。