Lỗi bảo mật trên Microsoft Edge cho phép hacker đánh cắp bí mật của bạn trên bất kỳ website nào

Tuần trước, Microsoft đã tung ra các bản cập nhật cho trình duyệt Edge với các bản sửa lỗi cho hai vấn đề bảo mật, một trong số đó liên quan đến lỗ hổng bảo mật có thể bị lợi dụng để đưa và thực thi mã tùy ý trong ngữ cảnh của bất kỳ trang web nào.

Được theo dõi là CVE-2021-34506 (điểm CVSS: 5,4), điểm yếu bắt nguồn từ sự cố tập lệnh trên nhiều trang web (UXSS) được kích hoạt khi tự động dịch các trang web bằng tính năng tích hợp của trình duyệt thông qua Microsoft Translator.

Được công nhận vì đã khám phá và báo cáo CVE-2021-34506 là Ignacio Laurence cũng như Vansh Devgan và Shivam Kumar Singh với CyberXplore Private Limited.

"Không giống như các cuộc tấn công XSS thông thường, UXSS là một kiểu tấn công khai thác các lỗ hổng phía máy khách trong trình duyệt hoặc các tiện ích mở rộng của trình duyệt để tạo ra một điều kiện XSS và thực thi mã độc", các nhà nghiên cứu của CyberXplore cho biết trong một bài viết chia sẻ với The Tin tặc.

"Khi các lỗ hổng như vậy được tìm thấy và khai thác, hành vi của trình duyệt sẽ bị ảnh hưởng và các tính năng bảo mật của nó có thể bị bỏ qua hoặc vô hiệu hóa."

Cụ thể, các nhà nghiên cứu phát hiện ra rằng tính năng dịch có một đoạn mã dễ bị tấn công không thể làm sạch đầu vào, do đó cho phép kẻ tấn công có khả năng chèn mã JavaScript độc hại vào bất kỳ đâu trong trang web mà sau đó được thực thi khi người dùng nhấp vào lời nhắc trên thanh địa chỉ để dịch trang.

Như một phương pháp khai thác bằng chứng khái niệm (PoC), các nhà nghiên cứu đã chứng minh rằng có thể kích hoạt cuộc tấn công chỉ bằng cách thêm nhận xét vào video YouTube, được viết bằng ngôn ngữ không phải tiếng Anh, cùng với tải trọng XSS.

Tương tự, một yêu cầu kết bạn từ hồ sơ Facebook chứa nội dung ngôn ngữ khác và tải trọng XSS đã được tìm thấy để thực thi mã ngay sau khi người nhận yêu cầu kiểm tra hồ sơ của người dùng.

Sau tiết lộ có trách nhiệm vào ngày 3 tháng 6, Microsoft đã khắc phục sự cố vào ngày 24 tháng 6, ngoài việc trao thưởng cho các nhà nghiên cứu 20.000 đô la như một phần của chương trình tiền thưởng lỗi của họ.

Bạn có thể tải xuống bản cập nhật mới nhất (phiên bản 91.0.864.59) cho trình duyệt dựa trên Chromium bằng cách truy cập Cài đặt và hơn thế nữa> Giới thiệu về Microsoft Edge (edge: // settings / help).

Hương – Theo TheHackerNews