當你正在享受微軟Edge瀏覽器內置的網頁翻譯功能時,可能觸發惡意代碼攻擊。
微軟上周推出了Edge瀏覽器更新,修復了兩個安全問題。其中一個就是利用網頁翻譯功能發起攻擊哪個瀏覽器可以翻譯網站,它可以在網站代碼中注入和執行任意代碼。
該漏洞被追蹤為CVE-2021-34506(CVSS評分:5.4),源于一個通用的跨網站腳本(UXSS)問題,該問題會在使用Edge瀏覽器內置的自動翻譯網頁功能時被觸發。
漏洞的發現者是 以及公司的Vansh 和 Kumar Singh。
“與常見的XSS攻擊不同,UXSS是一種利用瀏覽器或瀏覽器擴展中的客戶端漏洞以產生XSS條件,并執行惡意代碼攻擊,”研究人員表示。“當該漏洞被利用時,會繞過或禁用瀏覽器的安全功能。”
研究人員發現,翻譯功能中的一段代碼沒有清潔輸入,導致攻擊者可以在網頁任意地方插入惡意哪個瀏覽器可以翻譯網站,一旦用戶點擊地址欄的翻譯提示按鈕,就會執行該代碼。
作為一個概念驗證(PoC)漏洞,研究人員證明,只需在視頻中添加一個非英文編寫的注解和一個XSS有效載荷,就可以觸發攻擊。
同樣,該漏洞還可以被應用在場景中,它可以藏匿在用戶發送的好友請求中,包含非英文編寫的注解和XSS有效載荷,一旦請求的接收者查看了該用戶的個人資料,就會執行代碼。
在6月3日披露之后,微軟在6月24日(版本91.0.864.59)修復了該問題。此外,作為其漏洞賞金計劃的一部分,微軟還向研究人員獎勵了2萬美元。