CVE-2021-43844

**Nome do software vulnerável e versões afetadas:

Versões do MSEdgeRedirect anteriores à 0.5.0.1

Descrição:

O MSEdgeRedirect é uma ferramenta para redirecionar notícias, pesquisas, widgets, previsão do tempo e muito mais para o navegador padrão do usuário. A vulnerabilidade requer interação do usuário e a aceitação de um prompt. Existem dois cenários possíveis nos quais um invasor pode causar mais do que um simples incômodo. No primeiro cenário, um usuário visita uma página da web controlada pelo invasor, baixa uma carga executável e aceita uma solicitação de URL manipulada, que pode executar a carga baixada anteriormente se o caminho de download for adivinhado com sucesso. No segundo cenário, um usuário visita uma página da web controlada pelo invasor, aceita uma solicitação de URL manipulada e uma carga em um servidor SMB remoto, controlado pelo invasor, é executada. A vulnerabilidade foi encontrada na função DecodeAndRun(). Atualmente, não há conhecimento de exploração dessa vulnerabilidade em ambiente real.

Recomendações:

Para versões do MSEdgeRedirect anteriores à 0.5.0.1, atualize para a versão 0.5.0.1, que verifica e bloqueia as URLs manipuladas. Recomenda-se que os usuários não aceitem solicitações inesperadas de páginas da web. Como solução alternativa temporária, considere evitar o uso do MSEdgeRedirect até que a atualização seja aplicada.