Microsoft publikuje aktualizację przeglądarki Microsoft Edge do wersji 146.0.3856.84 (P26-122)
cert.pse-online.pl 2 tygodni temu
Produkt
Microsoft Edge – wersje wcześniejsze niż 146.0.3856.84
Numer CVE
CVE-2026-4673
Krytyczność
8.8/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis
Podatność wynika z błędu przekroczenia granic (boundary error) podczas przetwarzania niezaufanej zawartości HTML w komponencie WebAudio. Zdalny napastnik może stworzyć specjalnie spreparowaną stronę internetową i skłonić ofiarę do jej otwarcia, co doprowadzi do przepełnienia bufora na stercie (heap-based buffer overflow) i umożliwi wykonanie dowolnego kodu w systemie docelowym.
Numer CVE
CVE-2026-4674
Krytyczność
6.9/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Opis
Podatność wynika z błędu warunku granicznego (boundary condition) wewnątrz komponentu CSS w przeglądarce. Zdalny atakujący może skłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, co spowoduje błąd odczytu poza wyznaczonymi granicami (out-of-bounds read) i umożliwi uzyskanie dostępu do poufnych danych.
Numer CVE
CVE-2026-4675
Krytyczność
8.8/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis
Podatność wynika z błędu granic (boundary error) podczas przetwarzania niezaufanej zawartości HTML w komponencie WebGL. Zdalny atakujący może stworzyć specjalnie spreparowaną stronę internetową i skłonić ofiarę do jej otwarcia, co doprowadzi do przepełnienia bufora na stercie (heap-based buffer overflow) i umożliwi wykonanie dowolnego kodu w systemie docelowym.
Numer CVE
CVE-2026-4677
Krytyczność
6.5/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Opis
Podatność wynika z błędu warunku granicznego (boundary condition) wewnątrz komponentu WebAudio w przeglądarce. Zdalny atakujący może skłonić ofiarę do odwiedzenia specjalnie spreparowanej strony internetowej, co spowoduje błąd odczytu poza wyznaczonymi granicami (out-of-bounds read) i umożliwi uzyskanie dostępu do wrażliwych informacji.
Numer CVE
CVE-2026-4679
Krytyczność
8.8/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis
Podatność wynika z błędu przepełnienia całkowitoliczbowego (integer overflow) w komponencie Fonts w przeglądarce. Zdalny atakujący może skłonić ofiarę do otwarcia specjalnie spreparowanej strony internetowej, co spowoduje przepełnienie liczby całkowitej i umożliwi wykonanie dowolnego kodu w systemie docelowym.
Numer CVE
CVE-2026-4680
Krytyczność
8.8/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis
Podatność wynika z błędu typu use-after-free (użycie pamięci po jej zwolnieniu) w komponencie FedCM w przeglądarce. Zdalny atakujący może stworzyć specjalnie spreparowaną stronę internetową i skłonić ofiarę do jej odwiedzenia, co spowoduje błąd use-after-free i umożliwi wykonanie dowolnego kodu w systemie docelowym.
Numer CVE
CVE-2026-32187
Krytyczność
4.2/10
CVSS
AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
Opis
Podatność umożliwia zdalnemu napastnikowi obejście wprowadzonych ograniczeń bezpieczeństwa. Luka wynika z niewystarczającej implementacji środków ochrony. Zdalny atakujący może skutecznie ominąć wdrożone zabezpieczenia.
