Orange Tsai del DEVCORE Research Team ha dimostrato una vulnerabilità Universal Cross-Site Scripting in Microsoft Edge durante Pwn2Own il 20 maggio 2026. La falla, catalogata come CVE-2026-45494 e ZDI-26-330, non si limita a iniettare script: si lega a una funzione di produttività del browser, il tab-splitting, che tronca l'URL mostrato all'utente rendendo il vettore di attacco visivamente indistinguibile da una navigazione legittima. Microsoft ha corretto il bug nella versione 148.0.3967.70 rilasciata il 15 maggio, ma la combinazione tra vulnerabilità tecnica e ingegneria sociale visiva solleva questioni più ampie sul design delle interfacce moderne.
- CVE-2026-45494 è un XSS universale in Microsoft Edge scoperto da Orange Tsai (DEVCORE) durante Pwn2Own 2026, con disclosure coordinata pubblicata il 4 giugno.
- La falla risiede nella gestione della navigazione di Edge, che non valida correttamente dati forniti dall'utente permettendo injection di script cross-origin in un dominio target.
- Il meccanismo di attacco sfrutta il tab-splitting di Edge, funzione che mostra solo il prefisso di dominio anziché l'URL completo, facilitando il phishing visivo.
- Microsoft ha classificato l'exploitabilità come "Exploitation More Likely" e rilasciato il fix nella build 148.0.3967.70 (Chromium 148.0.7778.168) del 15 maggio 2026.
La catena di attacco: dal frame nascosto al dominio impersonato
La vulnerabilità si attiva quando l'utente visita una pagina web contenente un iframe malevolo. Secondo l'advisory ZDI-26-330, "la falla specifica esiste nella gestione della navigazione. Il problema deriva dalla mancanza di corretta validazione di dati forniti dall'utente, che può portare all'injection di script arbitrari. Un attaccante può sfruttare questa vulnerabilità per eseguire script nel contesto di un dominio target".
Il vettore cross-origin è determinante: l'attaccante non mira a compromettere il proprio dominio, ma a forzare l'esecuzione di codice nel contesto di un sito terzo scelto come obiettivo. Questo apre scenari di session hijacking, furto di cookie autenticati e manipolazione di interfaccia utente all'interno di piattaforme bancarie, webmail o servizi aziendali.
La condizione di attacco richiede interazione umana esplicita. L'advisory ZDI specifica che "l'utente deve visitare una pagina malevola o aprire un file malevolo". Non si tratta quindi di un exploit drive-by completamente invisibile, ma di un attacco che punta sulla credibilità percepita della pagina iniziale.
Il tab-splitting come moltiplicatore di rischio visivo
Qui entra in gioco il componente di design di Edge. Il Microsoft Security Response Center (MSRC) ha documentato che "la funzione tab-splitting del browser, che consente agli utenti di navigare due schede simultaneamente, mostra solo il prefisso di dominio nelle barre degli indirizzi anziché l'URL completo. Questo comportamento può portare a vulnerabilità di phishing, poiché gli attaccanti potrebbero sfruttarlo per far apparire legittimi siti web malevoli imitando nomi di domini attendibili".
La distinzione tra URL completo e prefisso di dominio non è un dettaglio estetico. In condizioni normali, un utente che controlli la barra degli indirizzi potrebbe rilevare discrepanze come sottodomini sospetti o parametri anomali. Con il tab-splitting attivo, quella linea di difesa si riduce a pochi caratteri: se l'attaccante registra un dominio che imita visivamente quello target, la verifica manuale diventa tecnicamente impossibile nell'interfaccia troncata.
Microsoft non specifica se il rilascio della versione 148.0.3967.70 modifichi anche il comportamento di visualizzazione del tab-splitting o corregga esclusivamente il componente di gestione della navigazione vulnerabile all'injection.
Valutazione della gravità e discrepanze tra fonti
La classificazione CVE Record ufficiale assegna a CVE-2026-45494 il punteggio CVSS 3.1 di 5.4, livello MEDIUM, con vettore CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N. L'advisory ZDI-26-330 riporta invece un CVSS 5.0 con vettore AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L. La discrepanza è coerente con l'uso di versioni diverse del calcolatore: ZDI indica un Attack Complexity più alto (AC:H contro AC:L nel record CVE) e aggiunge un impatto sulla disponibilità (A:L) assente nel punteggio CVE 3.1.
Entrambi i sistemi concordano sui fattori determinanti: accesso di rete non privilegiato (AV:N), nessun privilegio preliminare richiesto (PR:N), interazione utente necessaria (UI:R). La gravità non è estrema nel calcolo formale, ma la combinazione con il vettore visivo del tab-splitting eleva il rischio operativo oltre la mera lettura numerica.
Il record CVE conferma la classificazione CWE-79: Improper Neutralization of Input During Web Page Generation (Cross-site Scripting). Non sono presenti nel dossier informazioni su sfruttamento in-the-wild: Microsoft indica "Exploited No" nella propria valutazione.
"L'utente dovrebbe dover aprire una pagina web che contiene un iframe malevolo." — Microsoft MSRC, risposta a 'What interaction would the user have to do?'
Cosa fare adesso
- Aggiornare Microsoft Edge alla versione 148.0.3967.70 o successiva, rilasciata il 15 maggio 2026 con Chromium 148.0.7778.168, che corregge la vulnerabilità secondo il Microsoft Security Response Center.
- Verificare nelle policy aziendali se il tab-splitting sia attivato per default e valutare se disabilitarlo fino a chiarimento sulle modifiche UI del fix, dato che Microsoft non specifica se la correzione includa anche il comportamento di visualizzazione troncata degli URL.
- Rivedere i controlli di filtraggio web per rilevare iframe cross-origin da domini non classificati, poiché l'attacco richiede l'apertura di una pagina contenente un iframe malevolo.
- Considerare l'integrazione dell'indicatore CVE-2026-45494 nei sistemi di gestione delle vulnerabilità, distinguendo il punteggio CVSS 5.4 del record ufficiale dal 5.0 dell'advisory ZDI per coerenza di reporting.
Quando il design UX diventa superficie d'attacco
Il caso di CVE-2026-45494 non è isolato nella storia dei browser, ma presenta una caratteristica rara: la vulnerabilità tecnica e il suo amplificatore visivo sono entrambi prodotti dello stesso vendor. Il tab-splitting non è un componente di terze parti né una configurazione legacy: è una funzione promozionale di produttività attivamente commercializzata. Questo solleva un interrogativo strutturale sui processi di threat modeling che precedono il rilascio di feature UI, in particolare quelle che alterano il modo in cui gli utenti verificano l'autenticità di una risorsa web.
Per il settore enterprise, la lezione è duplice. Da un lato, la classificazione CVSS MEDIUM non deve tradursi in bassa priorità di patching: il vettore di phishing visivo può superare di gran lunga l'impatto teorico del punteggio. Dall'altro, la funzione tab-splitting introduce una variabile di comportamento utente che i tradizionali training di security awareness non coprono: come addestrare al riconoscimento di un URL quando l'interfaccia ne nasconde deliberatamente la maggior parte?
Orange Tsai e il DEVCORE Research Team hanno dimostrato il bug a Pwn2Own, competizione che premia l'exploitabilità pratica oltre la mera esistenza teorica della falla. La scelta di presentare questa catena di attacco in quel contesto conferma che la comunità di ricerca considera la combinazione XSS + tab-splitting un rischio concreto, non un esercizio accademico. La disclosure coordinata del 4 giugno 2026 ha reso pubblici i dettagli tecnici; il tempo tra il rilascio del fix (15 maggio) e la pubblicazione dell'advisory (4 giugno) offre una finestra di esposizione documentata che le organizzazioni dovrebbero verificare nelle proprie timeline di patching.
Domande frequenti
Il tab-splitting è l'unico elemento necessario per l'attacco?
No. Il tab-splitting funziona da moltiplicatore di credibilità visiva, ma la vulnerabilità tecnica richiede che l'utente apra una pagina contenente un iframe malevolo che sfrutti la gestione errata della navigazione di Edge. Senza il componente XSS, il troncamento dell'URL da solo non permette l'esecuzione di script cross-origin.
Perché i punteggi CVSS differiscono tra ZDI e CVE Record?
L'advisory ZDI-26-330 utilizza un calcolatore che assegna Attack Complexity: High (AC:H) e impatto sulla disponibilità (A:L), ottenendo 5.0. Il CVE Record ufficiale applica CVSS 3.1 con AC:L e nessun impatto sulla disponibilità (A:N), per un totale di 5.4. Entrambi rientrano nella fascia MEDIUM; la variazione riflette interpretazioni dello stesso vettore di attacco.
È noto se la correzione di Microsoft modifichi anche il comportamento del tab-splitting?
Il dossier non chiarisce questo punto. Il Microsoft Security Response Center indica la versione 148.0.3967.70 come correttiva, ma non specifica se il fix riguardi esclusivamente il componente di navigazione vulnerabile o anche la logica di visualizzazione dell'URL nel tab-splitting.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-330/
- https://www.cve.org/CVERecord?id=CVE-2026-45494
- http://www.zerodayinitiative.com/advisories/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45494
- http://nvd.nist.gov/cvss.cfm?calculator&version=3.0&vector=AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L
- https://www.microsoft.com/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.