Microsoft Edge Bug可能会让黑客窃取任何网站的机密

微软上周发布了Edge浏览器的更新，修复了两个安全问题，其中一个涉及绕过安全漏洞，可利用该漏洞在任何网站的上下文中注入和执行任意代码。

该漏洞被追踪为CVE-2021-34506（CVSS分数：5.4），源于一个通用跨站点脚本（UXSS）问题，该问题在通过Microsoft Translator使用浏览器内置功能自动翻译网页时触发。

CyberXplore Private Limited的伊格纳西奥·劳伦斯（Ignacio Laurence）、范什·德夫根（Vansh Devgan）和希瓦姆·库马尔·辛格（Shivam Kumar Singh）发现并报告了CVE-2021-34506。

CyberXplore研究人员在与《黑客新闻》分享的一篇文章中说：“与常见的XSS攻击不同，UXSS是一种攻击类型，它利用浏览器或浏览器扩展中的客户端漏洞来生成XSS条件，并执行恶意代码。”。

“当发现并利用这些漏洞时，浏览器的行为会受到影响，其安全功能可能会被绕过或禁用。”

具体而言，研究人员发现，翻译功能有一段易受攻击的代码，无法对输入进行清理，从而允许攻击者在网页的任何位置插入恶意JavaScript代码，然后在用户单击地址栏上的提示翻译页面时执行。

作为一种概念验证（PoC）利用，研究人员证明，只要在YouTube视频中添加一条评论，就有可能触发攻击。YouTube视频是用英语以外的语言编写的，并带有XSS负载。

类似地，一个来自Facebook的好友请求包含其他语言内容和XSS负载，一旦请求的接收者签出用户的配置文件，就会立即执行代码。

在6月3日进行了负责任的披露之后，微软在6月24日解决了这个问题，并将2万美元作为其漏洞奖励计划的一部分奖励给研究人员。

通过访问设置和更多内容，可以下载Chromium浏览器的最新更新（版本91.0.864.59）>；关于微软Edge(edge://settings/help).