Microsoft Edge 漏洞可能让黑客窃取您在任何网站上的秘密

微软上周推出了 Edge 浏览器的更新,修复了两个安全问题,其中一个涉及安全绕过漏洞,可利用该漏洞在任何网站的上下文中注入和执行任意代码。

跟踪为CVE-2021-34506(CVSS 分数:5.4),该漏洞源于通用跨站点脚本 (UXSS) 问题,该问题在通过 Microsoft Translator使用浏览器的内置功能自动翻译网页时触发。

发现和报告 CVE-2021-34506 的人是 I​​gnacio Laurence,以及 Cyber​​Xplore Private Limited 的 Vansh Devgan 和 Shivam Kumar Singh。

“不同于普通XSS攻击,UXSS是一种利用客户端漏洞在浏览器或浏览器扩展,以产生一个XSS条件,并执行恶意代码的类型的攻击,” Cyber​​Xplore研究人员表示在写了共享黑客新闻。

“当发现并利用此类漏洞时,浏览器的行为会受到影响,其安全功能可能会被绕过或禁用。”

具体来说,研究人员发现翻译功能有一段无法清理输入的易受攻击的代码,从而允许攻击者潜在地在网页中的任何位置插入恶意 JavaScript 代码,然后当用户单击地址栏上的提示时执行该代码翻译页面。

作为概念验证 (PoC) 漏洞,研究人员证明,只需在 YouTube 视频中添加评论以及 XSS 负载,即可触发攻击,该视频是用英语以外的语言编写的。

同样,来自包含其他语言内容和 XSS 负载的 Facebook 个人资料的好友请求被发现,一旦请求的接收者检查了用户的个人资料,就会执行代码。

在 6 月 3 日负责任地披露之后,微软于 6 月 24 日修复了该问题,此外还奖励研究人员 20,000 美元作为其漏洞赏金计划的一部分。

可以通过访问设置及更多 > 关于 Microsoft Edge (edge://settings/help) 下载基于 Chromium 的浏览器的最新更新(版本 91.0.864.59)。