微软上周推出了 Edge 浏览器的更新,修复了两个安全问题,其中一个涉及安全绕过漏洞,可利用该漏洞在任何网站的上下文中注入和执行任意代码。
被跟踪为CVE-2021-34506(CVSS 分数:5.4),该弱点源于通用跨站点脚本 (UXSS) 问题,该问题在通过 Microsoft Translator使用浏览器的内置功能自动翻译网页时触发。
发现和报告 CVE-2021-34506 的人是 Ignacio Laurence,以及 CyberXplore Private Limited 的 Vansh Devgan 和 Shivam Kumar Singh。
国内知名网络安全专家、东方联盟创始人郭盛华表示:“不同于普通XSS攻击,UXSS是一种利用客户端漏洞在浏览器或浏览器扩展,以产生一个XSS条件,并执行恶意代码的类型的攻击。当发现并利用此类漏洞时,浏览器的行为会受到影响,其安全功能可能会被绕过或禁用。”
具体来说,研究人员发现翻译功能有一段无法清理输入的易受攻击的代码,从而允许攻击者潜在地在网页中的任何位置插入恶意 JavaScript 代码,然后当用户单击地址栏上的提示时执行该代码翻译页面。
作为概念验证 (PoC) 漏洞,研究人员证明,只需在添加评论以及 XSS 负载,即可触发攻击,该视频是用英语以外的语言编写的。
同样,来自包含其他语言内容和 XSS 负载的个人资料的好友请求被发现,一旦请求的接收者检查了用户的个人资料,就会执行代码。
在 6 月 3 日负责任地披露之后,微软于 6 月 24 日修复了该问题,此外还奖励研究人员 20,000 美元作为其漏洞赏金计划的一部分。(欢迎转载分享)