当你享受微软的时候Edge当浏览器内置网页翻译功能时,可能会引发恶意代码攻击。
上周微软推出Edge浏览器更新修复了两个安全问题。一是利用网页翻译功能发起攻击,可以在网站代码中注入和执行任何代码。
该漏洞被追踪为CVE-2021-34506(CVSS评分:5.4),源于一个通用的跨网站脚本(UXSS)这个问题将被使用Edge触发浏览器内置的自动翻译网页功能。
漏洞的发现者是Ignacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。
"与常见的XSS攻击不同,UXSS利用浏览器或浏览器扩展中的客户端漏洞来产生XSS并进行恶意代码攻击,"CyberXplore研究人员说。“当使用漏洞时,浏览器的安全功能将被绕过或禁止。”
研究人员发现,翻译功能中的代码没有清洁输入,导致攻击者在网页的任何地方插入恶意JavaScript,一旦用户点击地址栏的翻译提示按钮,代码就会执行。
作为概念验证(PoC)研究人员证明,漏洞只需要在YouTube在视频中添加非英文注释和注释XSS有效载荷,可触发攻击。
同样,漏洞也可以应用Facebook它可以藏在场景中Facebook用户发送的好友请求包括非英文注释和XSS一旦被要求的接收者查看用户的个人信息,就会执行代码。
6月3日公布后,微软将于6月24日(版本)91.0.864.59)修复了这个问题。此外,微软还向研究人员奖励了2万美元,作为其漏洞赏金计划的一部分。