Luka oznaczona wynikiem 8.8 w skali CVSS (Common Vulnerability Scoring System) 1 została zidentyfikowana w przeglądarce Microsoft Edge w wersji opartej na Chromium. Problem, skatalogowany jako CVE-2026-45495 2, umożliwia zdalne wykonanie kodu, co w praktyce oznacza możliwość przejęcia kontroli nad endpointem ofiary. Zagrożenie dotyczy szerokiego spektrum użytkowników w Polsce, od indywidualnych po duże organizacje, gdzie Edge jest często standardowym elementem środowiska Windows.

Choć do wykorzystania luki wymagana jest interakcja ze strony użytkownika 3, na przykład poprzez odwiedzenie specjalnie spreparowanej strony internetowej, skala potencjalnych szkód jest wysoka. Skuteczne wykorzystanie podatności może prowadzić do pełnej kompromitacji systemu 4. Microsoft udostępnił już stosowną aktualizację 5.

TL;DR

  • Produkt: Microsoft Edge (wersja oparta na Chromium).
  • Zagrożenie: Zdalne wykonanie kodu – RCE (Remote Code Execution).
  • Identyfikator: CVE-2026-45495 2.
  • Wektor: Odwiedzenie przez użytkownika złośliwej strony internetowej 3.
  • Skutek: Pełne przejęcie kontroli nad systemem ofiary 4.
  • Kogo dotyczy: Wszystkich użytkowników przeglądarki Edge, w tym polskich firm i instytucji publicznych, gdzie jest ona często domyślnym narzędziem.
  • Pierwszy ruch: Natychmiastowa aktualizacja przeglądarki do najnowszej wersji 6.

Wektor ataku

Podatność CVE-2026-45495 2 to klasyczny przykład luki typu RCE (Remote Code Execution — zdalne wykonanie kodu na komputerze ofiary). Atakujący może ją wykorzystać do uruchomienia dowolnego programu na docelowej maszynie. Nie wymaga to od niego posiadania żadnych uprawnień w systemie ani wcześniejszego uwierzytelnienia 3.

Jedynym warunkiem jest interakcja użytkownika 3. W typowym scenariuszu atakujący tworzy stronę internetową zawierającą złośliwy kod. Następnie, za pomocą kampanii phishingowej lub reklamy (malvertising), nakłania ofiarę do jej odwiedzenia. W momencie załadowania strony w podatnej wersji przeglądarki Edge, kod jest wykonywany w kontekście zalogowanego użytkownika, co daje atakującemu możliwość instalacji oprogramowania szpiegującego, ransomware lub wykorzystania komputera jako bazy do dalszych ataków wewnątrz sieci firmowej.

Identyfikator CVE został zarezerwowany 12 maja 2026 roku 7. Luka została upubliczniona 12 maja 2026 roku 8. Microsoft opublikował poprawkę już 15 maja 2026 roku 9. Oficjalny biuletyn bezpieczeństwa pojawił się 18 maja 2026 roku 10. W momencie analizy nie zaobserwowano publicznie dostępnego kodu typu PoC (Proof of Concept) 11, co może nieznacznie obniżać ryzyko masowego wykorzystania luki przez mniej zaawansowane grupy. Jednak profesjonalni operatorzy są w stanie samodzielnie odtworzyć exploita na podstawie opublikowanych informacji o luce.

Wskaźniki kompromitacji

Na chwilę obecną nie są znane publiczne wskaźniki kompromitacji (IoC – Indicators of Compromise), takie jak domeny, adresy IP serwerów C2 (Command and Control) czy hashe plików powiązane z wykorzystaniem tej luki. Brak publicznego PoC 11 utrudnia ich identyfikację. Zaleca się monitorowanie telemetrii EDR (Endpoint Detection and Response) pod kątem nietypowych procesów potomnych uruchamianych przez msedge.exe.

Co zrobić w 24-48h

Rekomendowane podejście zakłada natychmiastowe działanie. Poniższe kroki mogą znacząco zredukować ryzyko.

  1. Natychmiastowa aktualizacja przeglądarki. Użytkownicy indywidualni powinni otworzyć w Edge adres edge://settings/help i zezwolić na automatyczną instalację aktualizacji. Przeglądarka zazwyczaj aktualizuje się sama, jednak ręczne sprawdzenie jest zalecane.

  2. Weryfikacja w środowisku firmowym. Administratorzy IT w polskich firmach i urzędach powinni priorytetowo potraktować wdrożenie poprawki. Należy użyć narzędzi do centralnego zarządzania, takich jak Microsoft Intune lub zasady GPO, aby wymusić aktualizację na wszystkich stacjach roboczych. 3. Przegląd polityk bezpieczeństwa. Luka ta jest przypomnieniem o ryzyku związanym z domyślnymi aplikacjami. Dla podmiotów objętych dyrektywą NIS2 (unijna dyrektywa o bezpieczeństwie sieci), posiadanie udokumentowanego procesu zarządzania podatnościami i aktualizacjami jest obowiązkiem prawnym. Incydent tego typu powinien zostać odnotowany w rejestrze ryzyka.

  3. Szkolenie użytkowników. Ponieważ atak wymaga interakcji 3, kluczowa jest świadomość pracowników. Należy przypomnieć zespołom o zasadach rozpoznawania phishingu i nieklikania w podejrzane linki, nawet jeśli pochodzą z pozornie zaufanych źródeł.

Źródła

Zobacz też

Footnotes

  1. Luka CVE-2026-45495 ma bazowy wynik CVSS 3.1 wynoszący 8.8, co wskazuje na wysoką ważność. — https://radar.offseq.com/threat/cve-2026-45495-remote-code-execution-in-microsoft—1127ca42

  2. CVE-2026-45495 to luka typu Remote Code Execution (RCE) w przeglądarce Microsoft Edge (opartej na Chromium). — https://nvd.nist.gov/vuln/detail/CVE-2026-45495 2 3

  3. Luka może być wykorzystana zdalnie bez uprawnień lub uwierzytelnienia, ale wymaga interakcji użytkownika. — https://radar.offseq.com/threat/cve-2026-45495-remote-code-execution-in-microsoft—1127ca42 2 3 4 5

  4. Skuteczne wykorzystanie tej luki może pozwolić atakującemu na zdalne wykonanie dowolnego kodu w systemie ofiary. — https://radar.offseq.com/threat/cve-2026-45495-remote-code-execution-in-microsoft—1127ca42 2

  5. Microsoft opublikował oficjalną poprawkę dla tej luki. — https://radar.offseq.com/threat/cve-2026-45495-remote-code-execution-in-microsoft—1127ca42

  6. Użytkownicy i administratorzy powinni zastosować najnowsze aktualizacje zabezpieczeń dla Microsoft Edge (opartego na Chromium). — https://radar.offseq.com/threat/cve-2026-45495-remote-code-execution-in-microsoft—1127ca42

  7. Data rezerwacji CVE to 2026-05-12T16:07:22.618Z. — https://radar.offseq.com/threat/cve-2026-45495-remote-code-execution-in-microsoft—1127ca42

  8. Data publikacji luki to 12 maja 2026 roku. — https://www.tenable.com/plugins/nessus/315006

  9. Data publikacji poprawki to 15 maja 2026 roku. — https://www.tenable.com/plugins/nessus/315006

  10. Luka została opublikowana 18 maja 2026 roku. — https://www.thehackerwire.com/cve-2026-45495-microsoft-edge-chromium-based-remote-code-execution-vul/

  11. W momencie pisania, nie ma publicznie dostępnego PoC (Proof of Concept) dla tej luki. — https://www.thehackerwire.com/cve-2026-45495-microsoft-edge-chromium-based-remote-code-execution-vul/ 2