当你在使用MicrosoftEdge浏览器内置的网页翻译功能时,可能会引发恶意代码攻击。微软上周推出了Edge浏览器更新,修复了两个安全问题。其中之一是利用网页翻译功能的攻击,可以在网站代码中注入并执行任意代码。该漏洞被追踪为CVE-2021-34506(CVSS评分:5.4),源于通用跨站点脚本(UXSS)问题,该问题在使用Edge浏览器内置的网页自动翻译时触发。该漏洞是由Cyber??Xplore的IgnacioLaurence和VanshDevgan以及ShivamKumarSingh发现的。“与常见的XSS攻击不同,UXSS是一种利用浏览器或浏览器扩展中的客户端漏洞来生成XSS条件并执行恶意代码的攻击,”Cyber??Xplore研究人员表示。“当这个漏洞被利用时,它会绕过或禁用浏览器的安全功能。”研究人员发现翻译功能中的一段代码未经过清理,允许攻击者在网页的任何位置插入恶意JavaScript。bar的翻译提示按钮,代码将被执行。作为概念验证(PoC)漏洞利用,研究人员证明,只需向YouTube视频添加非英语注释和XSS负载即可触发攻击。同样,该漏洞也可以应用于Facebook场景。它可以隐藏在Facebook用户发送的好友请求中,包括用非英语和XSS有效负载编写的评论。一旦请求的接收者查看了用户的个人信息,就会执行代码。在6月3日披露后,微软于6月24日修复了该问题(版本91.0.864.59)。此外,作为漏洞赏金计划的一部分,Microsoft向研究人员奖励了20,000美元。
