首页 > 资讯 > 行业动态 > Edge高危漏洞曝光,可被远程执行任意代码

Edge高危漏洞曝光,可被远程执行任意代码

时间:2026-07-07 16:28:45 来源:51DNS.COM
分享 : 

2026年7月6日微软安全中心发布安全预警,基于Chromium内核的MicrosoftEdge浏览器存在高危安全漏洞,漏洞编号CVE-2026-57992,CVSS风险评分高达7.5分,属于典型Use-After-Free内存破坏缺陷,攻击者可远程发起攻击执行任意代码,威胁政企、个人终端数据安全。

本次漏洞影响Edge150.0.4078.48版本,截至公告发布,微软尚未推送官方修复补丁,全网暂无公开PoC利用代码,但漏洞攻击逻辑完整,黑产团伙具备快速开发利用工具的条件。

不同于被动触发的浏览器漏洞,该攻击依赖社会工程诱导用户操作,黑客通过钓鱼邮件、社交消息、伪装链接诱导用户访问恶意页面,一旦完成指定交互动作,即可触发内存破坏,突破浏览器沙箱限制,窃取本地账号、Cookie、文件等敏感信息,严重时可完全控制终端设备。

Edge

一、漏洞底层原理:依托自动填充触发内存释放复用缺陷

1、核心成因:UAF内存管理缺陷
CVE-2026-57992根源为Chromium渲染引擎内存管理逻辑漏洞,程序释放内存空间后未做清空标记,后续代码仍可重复调用已释放内存块,造成内存数据错乱,攻击者借此篡改内存指令,注入恶意执行代码。

2、完整攻击触发流程
攻击链路分为三步,缺一不可:
第一,攻击者搭建特制恶意网页,页面嵌入隐藏、欺骗性表单元素;
第二,通过钓鱼手段引诱用户打开恶意页面,用户连续两次点击页面区域;
第三,两次点击激活Edge自动填充功能,触发渲染引擎UAF内存错误,完成代码执行。
高攻击复杂度降低了批量扫库风险,但精准钓鱼场景下成功率极高,企业办公人员、财务人员、运维人员是重点攻击目标,一旦中招,企业后台账号、网银凭证、客户资料极易泄露。


二、漏洞带来多重终端安全危害

成功利用漏洞后,攻击者可在浏览器进程内无限制运行自定义代码,衍生多重安全风险。
第一,全域数据窃取:读取浏览器保存的账号密码、会话Cookie、双因素验证码,劫持各大平台账号;
第二,终端横向渗透:依托浏览器权限读取本地文件、系统信息,投放后门程序,长期驻留监控设备操作;
第三,业务链路破坏:针对企业员工设备窃取OA、ERP、服务器后台登录凭据,入侵内网服务器,篡改业务数据、植入勒索病毒;
第四,钓鱼二次扩散:利用受害设备浏览器向通讯录好友推送恶意链接,扩大攻击范围,形成批量感染。


三、无补丁阶段分场景应急防护实操指南

在微软发布修复更新前,个人用户与企业运维可执行多层防护策略,阻断漏洞利用条件。
1、基础安全设置
开启Edge增强安全模式:打开浏览器设置-隐私、搜索和服务-安全,开启网页增强安全,推荐平衡模式,陌生网站启用强沙箱防护,降低内存漏洞利用成功率。
临时限制自动填充功能:进入设置-个人资料,关闭密码自动填充、表单信息自动回填,清除全部历史自动填充表单数据,从根源切断漏洞触发条件。
2、个人用户安全习惯加固
拒绝陌生链接与附件:不点开邮件、微信、短信内不明网址,不访问小众、无备案陌生网站;浏览器开启自动更新监测,第一时间安装官方安全补丁;重要平台启用硬件密钥FIDO2认证,规避Cookie窃取带来的账号劫持。
3、企业批量管控方案
运维通过组策略统一关闭终端Edge自动填充功能,限制员工私自修改浏览器安全配置;开展全员安全培训,识别钓鱼链接特征;终端部署主机安全软件,监控浏览器异常内存行为;高危岗位(财务、运维)优先使用隔离浏览器或替代客户端,降低暴露风险。


五、安全行业启示

本次CVE-2026-57992漏洞再次印证,浏览器自动填充等便捷功能存在底层安全隐患。即便主流厂商Edge也会出现内存管理高危缺陷,用户不能单纯依靠浏览器自带防护。

在补丁空白窗口期,主动限制高危交互功能、强化钓鱼防范是降低风险的核心手段。建议持续关注微软MSRC安全公告,补丁发布后第一时间全网升级Edge版本,消除内存漏洞带来的远程代码执行风险,构建终端浏览器安全防线。

在线咨询

联系我们

提示

根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。

去实名