Lỗi bảo mật trên Microsoft Edge cho phép hacker đánh cắp bí mật của bạn trên bất kỳ website nào

www.tuoitre.vn -   29/06/2021 08:00:00 870

Tuần trước, Microsoft đã tung ra các bản cập nhật cho trình duyệt Edge với các bản sửa lỗi cho hai vấn đề bảo mật, một trong số đó liên quan đến lỗ hổng bảo mật có thể bị lợi dụng để đưa và thực thi mã tùy ý trong ngữ cảnh của bất kỳ trang web nào.

Lỗi bảo mật trên Microsoft Edge cho phép hacker đánh cắp bí mật của bạn trên bất kỳ website nào

Được theo dõi là CVE-2021-34506 (điểm CVSS: 5,4), điểm yếu bắt nguồn từ sự cố tập lệnh trên nhiều trang web (UXSS) được kích hoạt khi tự động dịch các trang web bằng tính năng tích hợp của trình duyệt thông qua Microsoft Translator.

Được công nhận vì đã khám phá và báo cáo CVE-2021-34506 là Ignacio Laurence cũng như Vansh Devgan và Shivam Kumar Singh với CyberXplore Private Limited.

"Không giống như các cuộc tấn công XSS thông thường, UXSS là một kiểu tấn công khai thác các lỗ hổng phía máy khách trong trình duyệt hoặc các tiện ích mở rộng của trình duyệt để tạo ra một điều kiện XSS và thực thi mã độc", các nhà nghiên cứu của CyberXplore cho biết trong một bài viết chia sẻ với The Tin tặc.

"Khi các lỗ hổng như vậy được tìm thấy và khai thác, hành vi của trình duyệt sẽ bị ảnh hưởng và các tính năng bảo mật của nó có thể bị bỏ qua hoặc vô hiệu hóa."

Cụ thể, các nhà nghiên cứu phát hiện ra rằng tính năng dịch có một đoạn mã dễ bị tấn công không thể làm sạch đầu vào, do đó cho phép kẻ tấn công có khả năng chèn mã JavaScript độc hại vào bất kỳ đâu trong trang web mà sau đó được thực thi khi người dùng nhấp vào lời nhắc trên thanh địa chỉ để dịch trang.

Như một phương pháp khai thác bằng chứng khái niệm (PoC), các nhà nghiên cứu đã chứng minh rằng có thể kích hoạt cuộc tấn công chỉ bằng cách thêm nhận xét vào video YouTube, được viết bằng ngôn ngữ không phải tiếng Anh, cùng với tải trọng XSS.

Tương tự, một yêu cầu kết bạn từ hồ sơ Facebook chứa nội dung ngôn ngữ khác và tải trọng XSS đã được tìm thấy để thực thi mã ngay sau khi người nhận yêu cầu kiểm tra hồ sơ của người dùng.

Sau tiết lộ có trách nhiệm vào ngày 3 tháng 6, Microsoft đã khắc phục sự cố vào ngày 24 tháng 6, ngoài việc trao thưởng cho các nhà nghiên cứu 20.000 đô la như một phần của chương trình tiền thưởng lỗi của họ.

Bạn có thể tải xuống bản cập nhật mới nhất (phiên bản 91.0.864.59) cho trình duyệt dựa trên Chromium bằng cách truy cập Cài đặt và hơn thế nữa> Giới thiệu về Microsoft Edge (edge: // settings / help).

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ những lỗ hổng bảo mật ...

23/09/2022 08:00:00 69
Các cuộc tấn công mạng vẫn có thể được ngăn chặn trước khi kẻ tấn công xâm nhập vào mạng nội bộ. Việ...

Cách xem mật khẩu Wi-Fi của bạn trong iO...

19/09/2022 08:00:00 9
Quên mật khẩu cho một trong các mạng Wi-Fi của bạn? Hãy để Kaspersky chỉ cho bạn cách tìm lại mật kh...

Cách phục hồi tin nhắn đã xoá trên iPhon...

16/09/2022 08:00:00 10
Trong bài viết này, Kaspersky sẽ hướng dẫn bạn cách phục hồi tin nhắn đã xoá trên iPhone của bạn.

64 lỗ hổng bảo mật mới đã được Microsoft...

15/09/2022 08:00:00 13
Hôm thứ Ba, gã khổng lồ công nghệ Microsoft đã đưa ra các bản sửa lỗi để khắc phục 64 lỗi bảo mật mớ...

Apple phát hành bản cập nhật iOS và macO...

14/09/2022 08:00:00 10
Apple đã phát hành một đợt cập nhật bảo mật khác để giải quyết nhiều lỗ hổng trong iOS và macOS, bao...

Khu vực APAC chiếm 24% số email độc hại ...

13/09/2022 08:00:00 49
Kể từ khi được gửi đi lần đầu tiên năm 1978, đến nay thư rác tăng lên không chỉ về số lượng, mà còn ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ