-
Microsoft kêu gọi khách hàng bảo mật máy chủ Excha...
-
Hơn 134 triệu lượt tấn công các thiết bị IoT Realt...
-
Apple phát hành các bản cập nhật cho các thiết bị ...
-
Facebook giới thiệu các tính năng mới cho ứng dụng...
-
Mã độc Emotet trở lại và lợi hại hơn xưa
-
Cửa hàng ứng dụng Samsung Galaxy Store bị lỗ hổng ...
Lỗi bảo mật trên Microsoft Edge cho phép hacker đánh cắp bí mật của bạn trên bất kỳ website nào
Tuần trước, Microsoft đã tung ra các bản cập nhật cho trình duyệt Edge với các bản sửa lỗi cho hai vấn đề bảo mật, một trong số đó liên quan đến lỗ hổng bảo mật có thể bị lợi dụng để đưa và thực thi mã tùy ý trong ngữ cảnh của bất kỳ trang web nào.
Được theo dõi là CVE-2021-34506 (điểm CVSS: 5,4), điểm yếu bắt nguồn từ sự cố tập lệnh trên nhiều trang web (UXSS) được kích hoạt khi tự động dịch các trang web bằng tính năng tích hợp của trình duyệt thông qua Microsoft Translator.
Được công nhận vì đã khám phá và báo cáo CVE-2021-34506 là Ignacio Laurence cũng như Vansh Devgan và Shivam Kumar Singh với CyberXplore Private Limited.
"Không giống như các cuộc tấn công XSS thông thường, UXSS là một kiểu tấn công khai thác các lỗ hổng phía máy khách trong trình duyệt hoặc các tiện ích mở rộng của trình duyệt để tạo ra một điều kiện XSS và thực thi mã độc", các nhà nghiên cứu của CyberXplore cho biết trong một bài viết chia sẻ với The Tin tặc.
"Khi các lỗ hổng như vậy được tìm thấy và khai thác, hành vi của trình duyệt sẽ bị ảnh hưởng và các tính năng bảo mật của nó có thể bị bỏ qua hoặc vô hiệu hóa."
Cụ thể, các nhà nghiên cứu phát hiện ra rằng tính năng dịch có một đoạn mã dễ bị tấn công không thể làm sạch đầu vào, do đó cho phép kẻ tấn công có khả năng chèn mã JavaScript độc hại vào bất kỳ đâu trong trang web mà sau đó được thực thi khi người dùng nhấp vào lời nhắc trên thanh địa chỉ để dịch trang.
Như một phương pháp khai thác bằng chứng khái niệm (PoC), các nhà nghiên cứu đã chứng minh rằng có thể kích hoạt cuộc tấn công chỉ bằng cách thêm nhận xét vào video YouTube, được viết bằng ngôn ngữ không phải tiếng Anh, cùng với tải trọng XSS.
Tương tự, một yêu cầu kết bạn từ hồ sơ Facebook chứa nội dung ngôn ngữ khác và tải trọng XSS đã được tìm thấy để thực thi mã ngay sau khi người nhận yêu cầu kiểm tra hồ sơ của người dùng.
Sau tiết lộ có trách nhiệm vào ngày 3 tháng 6, Microsoft đã khắc phục sự cố vào ngày 24 tháng 6, ngoài việc trao thưởng cho các nhà nghiên cứu 20.000 đô la như một phần của chương trình tiền thưởng lỗi của họ.
Bạn có thể tải xuống bản cập nhật mới nhất (phiên bản 91.0.864.59) cho trình duyệt dựa trên Chromium bằng cách truy cập Cài đặt và hơn thế nữa> Giới thiệu về Microsoft Edge (edge: // settings / help).
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Microsoft kêu gọi khách hàng bảo mật máy...
Hơn 134 triệu lượt tấn công các thiết bị...
Apple phát hành các bản cập nhật cho các...
Facebook giới thiệu các tính năng mới ch...
Mã độc Emotet trở lại và lợi hại hơn xưa
Cửa hàng ứng dụng Samsung Galaxy Store b...
-
10 mẹo giữ cho dữ liệu đám mây của bạn được an toà...
-
Đảm bảo cho dữ liệu đám mây luôn an toàn và bảo mậ...
-
Kaspersky công bố người chiến thắng cuộc thi dành ...
-
Hướng dẫn cách xoá lịch sử tìm kiếm trên Facebook
-
Microsoft phát hành bản vá lỗi tháng 1-2023 cảnh b...
-
Cập nhật ngay bản vá trên chip Qualcomm và Lenovo ...
-
Microsoft kêu gọi khách hàng bảo mật máy chủ Excha...
-
Hơn 134 triệu lượt tấn công các thiết bị IoT Realt...
-
Apple phát hành các bản cập nhật cho các thiết bị ...
-
Facebook giới thiệu các tính năng mới cho ứng dụng...
-
Mã độc Emotet trở lại và lợi hại hơn xưa
-
Cửa hàng ứng dụng Samsung Galaxy Store bị lỗ hổng ...
TAGS
LIÊN HỆ
