微软Edge浏览器的这个bug可能让攻击者窃取你的任意信息

安全
微软上周推出了Edge浏览器更新,修复了两个安全问题。其中一个就是利用网页翻译功能发起攻击,它可以在网站代码中注入和执行任意代码。

当你正在享受微软Edge浏览器内置的网页翻译功能时,可能触发恶意代码攻击。

微软上周推出了Edge浏览器更新,修复了两个安全问题。其中一个就是利用网页翻译功能发起攻击,它可以在网站代码中注入和执行任意代码。

该漏洞被追踪为CVE-2021-34506(CVSS评分:5.4),源于一个通用的跨网站脚本(UXSS)问题,该问题会在使用Edge浏览器内置的自动翻译网页功能时被触发。

该漏洞的发现者是Ignacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。

"与常见的XSS攻击不同,UXSS是一种利用浏览器或浏览器扩展中的客户端漏洞以产生XSS条件,并执行恶意代码攻击,"CyberXplore研究人员表示。“当该漏洞被利用时,会绕过或禁用浏览器的安全功能。”

研究人员发现,翻译功能中的一段代码没有清洁输入,导致攻击者可以在网页任意地方插入恶意JavaScript,一旦用户点击地址栏的翻译提示按钮,就会执行该代码。

作为一个概念验证(PoC)漏洞,研究人员证明,只需在YouTube视频中添加一个非英文编写的注解和一个XSS有效载荷,就可以触发攻击。

同样,该漏洞还可以被应用在Facebook场景中,它可以藏匿在Facebook用户发送的好友请求中,包含非英文编写的注解和XSS有效载荷,一旦请求的接收者查看了该用户的个人资料,就会执行代码。

在6月3日披露之后,微软在6月24日(版本91.0.864.59)修复了该问题。此外,作为其漏洞赏金计划的一部分,微软还向研究人员奖励了2万美元。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-06-30 10:21:29

浏览器

2021-12-01 11:25:15

MSHTML微软漏洞

2022-08-19 15:40:08

密码证书安全

2022-06-04 07:13:20

黑客浏览器网络攻击

2021-10-26 10:07:42

网络攻击IT资产网络安全

2021-03-24 12:13:42

BugEdge浏览器

2022-05-15 15:15:57

恶意软件WhatsApp网络攻击

2018-09-13 08:13:03

微软浏览器Edge

2020-10-22 08:04:20

Edge微软浏览器

2023-02-14 07:49:34

ChatGPT浏览器Bing

2021-10-20 11:33:29

Telegram BoPayPal间谍软件

2021-04-19 07:00:57

微软Edge浏览器

2024-12-05 15:25:38

2021-11-22 21:55:24

Windows 11Windows微软

2015-08-03 09:44:02

ChromeEdge 微软

2015-10-21 09:43:32

扩展支持Edge浏览器

2022-06-30 16:14:20

IEEdge浏览器

2021-06-04 09:14:09

微软Edge浏览器

2021-04-16 07:38:40

微软Edge浏览器
点赞
收藏

51CTO技术栈公众号