聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

上周，微软发布 Edge 浏览器更新，修复了两个安全问题，其中一个是安全绕过漏洞，可被用于在任意网站的上下文中注入并执行任意代码。

该漏洞的编号为CVE-2021-34506（CVSS评分为5.4），源自一个通用型跨站点脚本漏洞，当使用该浏览器的内置功能Microsoft Translator自动翻译网页时就会触发该漏洞。

CyberXplore Private 有限公司的三名研究员发现并报告了该漏洞，他们指出，“和常见的 XSS 攻击不同，UXSS 攻击利用位于浏览器或浏览器扩展中的客户端漏洞来生成 XSS 条件并执行恶意代码。当找到并利用这些漏洞时，浏览器的行为受影响且其安全功能可能被绕过或禁用。”

具体而言，研究人员发现该翻译功能含有易受攻击代码，未能清洁输入，从而导致攻击者可能在网页的任意地方插入恶意 JavaScript 带啊，之后当用户点击地址栏中的提示来翻译页面时就会执行恶意代码。

研究人员在 PoC exploit 视频中展示了如何仅通过向 YouTube 视频添加评论的方式且和 XSS payload触发攻击，该视频用英语以外的语言编写。

同样地，包含其它语言内容的 Facebook 资料的好友申请以及 XSS payload，只要申请接收者登出用户资料，就会执行该代码。

6月3日，研究员将问题告知微软，后者在6月24日修复并为研究员发放2万美元的奖金。

用户可访问设置和更多＞关于微软 Edge (edge://settings/help) 的方式下载该基于 Chromium 浏览器的最新更新（版本91.0.864.59）。

推荐阅读

原文链接

https://thehackernews.com/2021/06/microsoft-edge-bug-couldve-let-hackers.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~