聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

上周,微软发布 Edge 浏览器更新,修复了两个安全问题,其中一个是安全绕过漏洞,可被用于在任意网站的上下文中注入并执行任意代码。

该漏洞的编号为CVE-2021-34506(CVSS评分为5.4),源自一个通用型跨站点脚本漏洞,当使用该浏览器的内置功能Microsoft Translator自动翻译网页时就会触发该漏洞。

CyberXplore Private 有限公司的三名研究员发现并报告了该漏洞,他们指出,“和常见的 XSS 攻击不同,UXSS 攻击利用位于浏览器或浏览器扩展中的客户端漏洞来生成 XSS 条件并执行恶意代码。当找到并利用这些漏洞时,浏览器的行为受影响且其安全功能可能被绕过或禁用。”

具体而言,研究人员发现该翻译功能含有易受攻击代码,未能清洁输入,从而导致攻击者可能在网页的任意地方插入恶意 JavaScript 带啊,之后当用户点击地址栏中的提示来翻译页面时就会执行恶意代码。

研究人员在 PoC exploit 视频中展示了如何仅通过向 YouTube 视频添加评论的方式且和 XSS payload触发攻击,该视频用英语以外的语言编写。

同样地,包含其它语言内容的 Facebook 资料的好友申请以及 XSS payload,只要申请接收者登出用户资料,就会执行该代码。

6月3日,研究员将问题告知微软,后者在6月24日修复并为研究员发放2万美元的奖金。

用户可访问设置和更多>关于微软 Edge (edge://settings/help) 的方式下载该基于 Chromium 浏览器的最新更新(版本91.0.864.59)。

推荐阅读

微软6月补丁日修复7个0day:6个已遭利用且其中1个是为 APT 服务的商用exploit

微软:SolarWinds 供应链攻击事件幕后黑手攻击全球24国政府

原文链接

https://thehackernews.com/2021/06/microsoft-edge-bug-couldve-let-hackers.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

微软 Edge bug 导致黑客窃取用户在任意站点的机密信息,颁发2万美元奖金相关推荐

  1. 一群黑客决定互相出题难死对方,争夺10万美元奖金,结果却是他赢了

    话说,如果没有华山之巅的此生最后一战,欧阳锋和洪七公应该可以尝试这种玩法:跟周伯通的左右互搏.自己为难自己不同,高手之间互为对方出题,比试一把,这不是很有趣的事情么? 谁会赢? 如果金庸深谙<冰 ...

  2. GTA 5祖传「屎山」代码终于修复!R星认可黑客方案,还给他发了1万美元奖金

    贾浩楠 发自 凹非寺 量子位 报道 | 公众号 QbitAI 折磨全球无数GTA 5玩家的联机版超长加载时间问题,终于要修复了. 什么?R星(游戏开发商RockStar)主动改善玩家游戏体验?不存在的 ...

  3. Moonriver史上首次全球黑客松正式开启,15万美元奖金持续资助开发者建设Moonriver生态

    2022年3月23日-5月20日,Moonbeam Foundation联合DoraHacks和Huobi Incubator正式启动Moonriver Virtual Hackathon. Moon ...

  4. 听见丨酷骑修改退押金方式,用户将只能通过电话退款 苹果3000万美元收购增强现实初创企业Vrvana

    苹果3000万美元收购增强现实初创企业Vrvana 据新浪科技报道,一直有消息称,苹果准备在2020年之前推出AR头盔.而据外媒报道,最近苹果收购了一家名为Vrvana的企业.这是一家位于加拿大蒙特利 ...

  5. 两名黑客因发现特斯拉漏洞获Model 3一辆和3.5万美元奖金

    [TechWeb]3月26日消息,据美国财经网站CNBC报道,两名20多岁的电脑黑客发现了特斯拉Model 3的一个安全漏洞,该漏洞允许他们侵入这辆电动汽车的内部网络浏览器.特斯拉因此把这辆车作为奖品 ...

  6. 去年微软颁发1360万美元奖励,中国提交的漏洞报告数量位列前三强

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 微软指出,一年来通过公开的漏洞奖励计划共向研究员颁发超过1360万美元的奖金. 微软表示: 在2020年7月1日至2021年6月30日期间 ...

  7. 揭秘网络黑产链:为何普通黑客能月入 8 万美元?

    就像组织严密的现代黑帮一样,网络黑产到如今已经商业化得非常成熟了,黑客们同样拥有复杂精巧的产业链,每天在全球黑产网络中流转的交易额数以亿计,整体规模更难以估测. 但其中每个黑客的具体收入如何?黑客是如 ...

  8. 我发现Facebook Messenger漏洞可使安卓用户互相监听,获奖6万美元

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Facebook 修复了Facebook Messenger 安卓版 284.0.0.16.119中的一个严重漏洞,可导致呼叫人在未获 ...

  9. 惊呆!美国向黑客支付了500万美元赎金!

    公众号回复:干货,领取价值58元/套IT管理体系文档 公众号回复:ITIL教材,领取最新ITIL4中文教材 正文 导读:美国向黑客支付了将近500万美元?拜登本人未否认. 在被黑客掐断重要运输管道后, ...

最新文章

  1. Altium Designer快捷键失效恢复方法
  2. js立即执行函数: (function ( ){...})( ) 与 (function ( ){...}( ))
  3. 2021夏季每日一题 【week1 未完结】
  4. Git完整入门教程(从0开始)
  5. Oracle中管理用户(创建用户,用户加锁,用户解锁,修改用户密码,授权登录权限,撤销登录权限,授权连接权限,conn命令,创建角色,并为角色赋权限,将角色赋给指定用户)
  6. hadoop的关键进程
  7. Mynavi Programming Contest 2021(AtCoder Beginner Contest 201)题解
  8. php学的是什么意思_为什么要学习PHP?到底什么是PHP?
  9. php 链接远程oracle,PHP连接远程oracle输出数据
  10. hashmap底层原理_周末自己动手撸一个 HashMap,美滋滋
  11. Java 反射机制你还不会?那怎么看 Spring 源码?
  12. pid控制从入门到精通pdf_《PID整定指导》白皮书——PID领域的葵花宝典来袭!
  13. 构建幸福婚姻需明白四件事
  14. Spark Shuffle 中 JVM 内存使用及配置内幕详情
  15. python 赚钱 知乎_2020年,小红书、知乎与B站谁能赚钱?
  16. JS里给日期增加n个月的方法
  17. USGS官网批量下载卫星数据方法
  18. 各种说明方法的答题格式_说明文方法答题格式
  19. 【reset.css重置文件夹】
  20. [JZOJ4588]冷战

热门文章

  1. ubuntu 10.04的git安装和使用
  2. 解决Android编译so库出错问题
  3. 面向车、路、城,华人运通“智路”示范项目开通试运行
  4. 【影视后期】认识After Effects
  5. eclipse运行maven项目,tomcat启动报错
  6. Liferay Dynamic CSS Filter方法的研究 - 总体过程
  7. Android Demo---如何敲出圆角的Button+圆角头像
  8. Core Data 学习笔记(二)被管理对象模型
  9. 《Skype for Business Server 2015-项目实战》
  10. Citrix 实践中的问题及解决