• 微软Edge漏洞可能让黑客窃取您在任何网站上的秘密


    微软上周推出了 Edge 浏览器的更新,修复了两个安全问题,其中一个涉及安全绕过漏洞,可利用该漏洞在任何网站的上下文中注入和执行任意代码。

    被跟踪为CVE-2021-34506(CVSS 分数:5.4),该弱点源于通用跨站点脚本 (UXSS) 问题,该问题在通过 Microsoft Translator使用浏览器的内置功能自动翻译网页时触发。

    发现和报告 CVE-2021-34506 的人是 I​​gnacio Laurence,以及 Cyber​​Xplore Private Limited 的 Vansh Devgan 和 Shivam Kumar Singh。

    国内知名网络安全专家、东方联盟创始人郭盛华表示:“不同于普通XSS攻击,UXSS是一种利用客户端漏洞在浏览器或浏览器扩展,以产生一个XSS条件,并执行恶意代码的类型的攻击。当发现并利用此类漏洞时,浏览器的行为会受到影响,其安全功能可能会被绕过或禁用。”

    具体来说,研究人员发现翻译功能有一段无法清理输入的易受攻击的代码,从而允许攻击者潜在地在网页中的任何位置插入恶意 JavaScript 代码,然后当用户单击地址栏上的提示时执行该代码翻译页面。

    作为概念验证 (PoC) 漏洞,研究人员证明,只需在添加评论以及 XSS 负载,即可触发攻击,该视频是用英语以外的语言编写的。

    同样,来自包含其他语言内容和 XSS 负载的个人资料的好友请求被发现,一旦请求的接收者检查了用户的个人资料,就会执行代码。

    在 6 月 3 日负责任地披露之后,微软于 6 月 24 日修复了该问题,此外还奖励研究人员 20,000 美元作为其漏洞赏金计划的一部分。(欢迎转载分享)

  • 相关阅读:
    文件下载与中文文件名乱码问题解决
    文件字符编码的转换
    HTML速记
    MySQL学习笔记——安装
    C#防止重复弹出多个窗体
    ASP.NET Gridview中自带的日期格式设置功能
    [转]MSDTC on server '''' is unavailable. 的解决办法
    [转]关于SQL中Between语句查询日期的问题
    [转]SQL触发器实例讲解
    SQL索引技巧_1
  • 原文地址:https://www.cnblogs.com/hacker520/p/14948871.html
Copyright © 2020-2023  润新知