Lỗi bảo mật trên Microsoft Edge cho phép hacker đánh cắp bí mật của bạn trên bất kỳ website nào

www.tuoitre.vn -   29/06/2021 08:00:00 1095

Tuần trước, Microsoft đã tung ra các bản cập nhật cho trình duyệt Edge với các bản sửa lỗi cho hai vấn đề bảo mật, một trong số đó liên quan đến lỗ hổng bảo mật có thể bị lợi dụng để đưa và thực thi mã tùy ý trong ngữ cảnh của bất kỳ trang web nào.

Lỗi bảo mật trên Microsoft Edge cho phép hacker đánh cắp bí mật của bạn trên bất kỳ website nào

Được theo dõi là CVE-2021-34506 (điểm CVSS: 5,4), điểm yếu bắt nguồn từ sự cố tập lệnh trên nhiều trang web (UXSS) được kích hoạt khi tự động dịch các trang web bằng tính năng tích hợp của trình duyệt thông qua Microsoft Translator.

Được công nhận vì đã khám phá và báo cáo CVE-2021-34506 là Ignacio Laurence cũng như Vansh Devgan và Shivam Kumar Singh với CyberXplore Private Limited.

"Không giống như các cuộc tấn công XSS thông thường, UXSS là một kiểu tấn công khai thác các lỗ hổng phía máy khách trong trình duyệt hoặc các tiện ích mở rộng của trình duyệt để tạo ra một điều kiện XSS và thực thi mã độc", các nhà nghiên cứu của CyberXplore cho biết trong một bài viết chia sẻ với The Tin tặc.

"Khi các lỗ hổng như vậy được tìm thấy và khai thác, hành vi của trình duyệt sẽ bị ảnh hưởng và các tính năng bảo mật của nó có thể bị bỏ qua hoặc vô hiệu hóa."

Cụ thể, các nhà nghiên cứu phát hiện ra rằng tính năng dịch có một đoạn mã dễ bị tấn công không thể làm sạch đầu vào, do đó cho phép kẻ tấn công có khả năng chèn mã JavaScript độc hại vào bất kỳ đâu trong trang web mà sau đó được thực thi khi người dùng nhấp vào lời nhắc trên thanh địa chỉ để dịch trang.

Như một phương pháp khai thác bằng chứng khái niệm (PoC), các nhà nghiên cứu đã chứng minh rằng có thể kích hoạt cuộc tấn công chỉ bằng cách thêm nhận xét vào video YouTube, được viết bằng ngôn ngữ không phải tiếng Anh, cùng với tải trọng XSS.

Tương tự, một yêu cầu kết bạn từ hồ sơ Facebook chứa nội dung ngôn ngữ khác và tải trọng XSS đã được tìm thấy để thực thi mã ngay sau khi người nhận yêu cầu kiểm tra hồ sơ của người dùng.

Sau tiết lộ có trách nhiệm vào ngày 3 tháng 6, Microsoft đã khắc phục sự cố vào ngày 24 tháng 6, ngoài việc trao thưởng cho các nhà nghiên cứu 20.000 đô la như một phần của chương trình tiền thưởng lỗi của họ.

Bạn có thể tải xuống bản cập nhật mới nhất (phiên bản 91.0.864.59) cho trình duyệt dựa trên Chromium bằng cách truy cập Cài đặt và hơn thế nữa> Giới thiệu về Microsoft Edge (edge: // settings / help).

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 52
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 58
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 37
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 39
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 49
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 49
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ