该漏洞被追踪为CVE-2021-34506(CVSS分数:5.4),源于一个通用跨站点脚本(UXSS)问题,该问题在通过Microsoft Translator使用浏览器内置功能自动翻译网页时触发。
CyberXplore Private Limited的伊格纳西奥·劳伦斯(Ignacio Laurence)、范什·德夫根(Vansh Devgan)和希瓦姆·库马尔·辛格(Shivam Kumar Singh)发现并报告了CVE-2021-34506。
CyberXplore研究人员在与《黑客新闻》分享的一篇文章中说:“与常见的XSS攻击不同,UXSS是一种攻击类型,它利用浏览器或浏览器扩展中的客户端漏洞来生成XSS条件,并执行恶意代码。”。
“当发现并利用这些漏洞时,浏览器的行为会受到影响,其安全功能可能会被绕过或禁用。”
具体而言,研究人员发现,翻译功能有一段易受攻击的代码,无法对输入进行清理,从而允许攻击者在网页的任何位置插入恶意JavaScript代码,然后在用户单击地址栏上的提示翻译页面时执行。
作为一种概念验证(PoC)利用,研究人员证明,只要在YouTube视频中添加一条评论,就有可能触发攻击。YouTube视频是用英语以外的语言编写的,并带有XSS负载。
类似地,一个来自Facebook的好友请求包含其他语言内容和XSS负载,一旦请求的接收者签出用户的配置文件,就会立即执行代码。
在6月3日进行了负责任的披露之后,微软在6月24日解决了这个问题,并将2万美元作为其漏洞奖励计划的一部分奖励给研究人员。
通过访问设置和更多内容,可以下载Chromium浏览器的最新更新(版本91.0.864.59)>;关于微软Edge(edge://settings/help).