微软Edge浏览器的这个bug可能让攻击者窃取你的任意信息
source link: https://www.freebuf.com/news/278951.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
当你正在享受微软Edge浏览器内置的网页翻译功能时,可能触发恶意代码攻击。
微软上周推出了Edge浏览器更新,修复了两个安全问题。其中一个就是利用网页翻译功能发起攻击,它可以在网站代码中注入和执行任意代码。
该漏洞被追踪为CVE-2021-34506(CVSS评分:5.4),源于一个通用的跨网站脚本(UXSS)问题,该问题会在使用Edge浏览器内置的自动翻译网页功能时被触发。
该漏洞的发现者是Ignacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。
"与常见的XSS攻击不同,UXSS是一种利用浏览器或浏览器扩展中的客户端漏洞以产生XSS条件,并执行恶意代码攻击,"CyberXplore研究人员表示。“当该漏洞被利用时,会绕过或禁用浏览器的安全功能。”
研究人员发现,翻译功能中的一段代码没有清洁输入,导致攻击者可以在网页任意地方插入恶意JavaScript,一旦用户点击地址栏的翻译提示按钮,就会执行该代码。
作为一个概念验证(PoC)漏洞,研究人员证明,只需在YouTube视频中添加一个非英文编写的注解和一个XSS有效载荷,就可以触发攻击。
同样,该漏洞还可以被应用在Facebook场景中,它可以藏匿在Facebook用户发送的好友请求中,包含非英文编写的注解和XSS有效载荷,一旦请求的接收者查看了该用户的个人资料,就会执行代码。
在6月3日披露之后,微软在6月24日(版本91.0.864.59)修复了该问题。此外,作为其漏洞赏金计划的一部分,微软还向研究人员奖励了2万美元。
本文作者:yannichen, 转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK