微软Edge浏览器的这个bug可能让攻击者窃取你的任意信息

逆向破解访客2021-10-11 2:33:007965A⁺A^-

当你正在享受微软Edge浏览器内置的网页翻译功能时，可能触发恶意代码攻击。

微软上周推出了Edge浏览器更新，修复了两个安全问题。其中一个就是利用网页翻译功能发起攻击，它可以在网站代码中注入和执行任意代码。

该漏洞被追踪为CVE-2021-34506（CVSS评分：5.4），源于一个通用的跨网站脚本（UXSS）问题，该问题会在使用Edge浏览器内置的自动翻译网页功能时被触发。

该漏洞的发现者是Ignacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。

“与常见的XSS攻击不同，UXSS是一种利用浏览器或浏览器扩展中的客户端漏洞以产生XSS条件，并执行恶意代码攻击，”CyberXplore研究人员表示。“当该漏洞被利用时，会绕过或禁用浏览器的安全功能。”

研究人员发现，翻译功能中的一段代码没有清洁输入，导致攻击者可以在网页任意地方插入恶意JavaScript，一旦用户点击地址栏的翻译提示按钮，就会执行该代码。

作为一个概念验证（PoC）漏洞，研究人员证明，只需在YouTube视频中添加一个非英文编写的注解和一个XSS有效载荷，就可以触发攻击。

同样，该漏洞还可以被应用在Facebook场景中，它可以藏匿在Facebook用户发送的好友请求中，包含非英文编写的注解和XSS有效载荷，一旦请求的接收者查看了该用户的个人资料，就会执行代码。

在6月3日披露之后，微软在6月24日（版本91.0.864.59）修复了该问题。此外，作为其漏洞赏金计划的一部分，微软还向研究人员奖励了2万美元。

来源：FreeBuf.COM

点击这里复制本文地址以上内容由黑资讯整理呈现，请务必在转载分享时注明本文地址！如对内容有疑问，请联系我们，谢谢！

酒奴森槿2022-05-28 07:21:47
当你正在享受微软Edge浏览器内置的网页翻译功能时，可能触发恶意代码攻击。微软上周推出了Edge浏览器更新，修复了两个安全问题。其中一个就是利用网页翻译功能发起攻击，它可以在网站代码中注入和执行任意代码。该漏洞被追踪为CVE-202

鹿岛矫纵2022-05-28 05:37:55
io Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。“与常见的XSS攻击不同，UXSS是一种利用浏览器或浏览器扩展中的客户端漏洞以产生

痴妓帅冕2022-05-28 05:32:36
gnacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。“与常见的XSS攻击不同，UXSS是一种利用浏览器或浏览器扩展中的客户

泪灼路弥2022-05-28 08:09:03
载荷，一旦请求的接收者查看了该用户的个人资料，就会执行代码。在6月3日披露之后，微软在6月24日（版本91.0.864.59）修复了该问题。此外，作为其漏洞赏金计划的一部分，微软还向研究人员奖励了2万美元。来源：FreeBuf.COM

颜于弥繁2022-05-28 13:34:42
是一种利用浏览器或浏览器扩展中的客户端漏洞以产生XSS条件，并执行恶意代码攻击，”CyberXplore研究人员表示。“当该漏洞被利用时，会绕过或禁用浏览器的安全功能。”研究人员发现，翻译功能中的一段代码没有清洁输入，导致攻击者可以在网页任意地方插入恶意JavaScript，