微软上周推出了 Edge 浏览器的更新,修复了两个安全问题,其中一个涉及安全绕过漏洞,可利用该漏洞在任何网站的上下文中注入和执行任意代码。
跟踪为CVE-2021-34506(CVSS 分数:5.4),该漏洞源于通用跨站点脚本 (UXSS) 问题,该问题在通过 Microsoft Translator使用浏览器的内置功能自动翻译网页时触发。
发现和报告 CVE-2021-34506 的人是 Ignacio Laurence,以及 CyberXplore Private Limited 的 Vansh Devgan 和 Shivam Kumar Singh。
“不同于普通XSS攻击,UXSS是一种利用客户端漏洞在浏览器或浏览器扩展,以产生一个XSS条件,并执行恶意代码的类型的攻击,” CyberXplore研究人员表示在写了共享黑客新闻。
“当发现并利用此类漏洞时,浏览器的行为会受到影响,其安全功能可能会被绕过或禁用。”
具体来说,研究人员发现翻译功能有一段无法清理输入的易受攻击的代码,从而允许攻击者潜在地在网页中的任何位置插入恶意 JavaScript 代码,然后当用户单击地址栏上的提示时执行该代码翻译页面。
作为概念验证 (PoC) 漏洞,研究人员证明,只需在 YouTube 视频中添加评论以及 XSS 负载,即可触发攻击,该视频是用英语以外的语言编写的。
同样,来自包含其他语言内容和 XSS 负载的 Facebook 个人资料的好友请求被发现,一旦请求的接收者检查了用户的个人资料,就会执行代码。
在 6 月 3 日负责任地披露之后,微软于 6 月 24 日修复了该问题,此外还奖励研究人员 20,000 美元作为其漏洞赏金计划的一部分。
可以通过访问设置及更多 > 关于 Microsoft Edge (edge://settings/help) 下载基于 Chromium 的浏览器的最新更新(版本 91.0.864.59)。
极牛网精选文章《Microsoft Edge 漏洞可能让黑客窃取您在任何网站上的秘密》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15312.html
微信公众号 
微信小程序 
