Проблема представляет собой уязвимость универсального межсайтового выполнения сценариев (UXSS).
Специалисты компании Microsoft выпустили обновление безопасности для браузера Microsoft Edge, исправляющее две проблемы. Эксплуатация одной из уязвимостей позволяла внедрить и выполнить произвольный код в контексте любого web-сайта.
Проблема ( CVE-2021-34506 ) представляет собой уязвимость универсального межсайтового выполнения сценариев (UXSS) и связана с автоматическим переводом web-страниц с использованием встроенной функции браузера через Microsoft Translator.
«В отличие от обычных XSS-атак, в рамках UXSS используются уязвимости на стороне клиента в браузере или расширениях браузера для создания условия XSS и выполнения вредоносного кода», — пояснили эксперты из CyberXplore.
Функция перевода содержит фрагмент уязвимого кода, который не может очистить вводимые данные, что позволяет злоумышленнику потенциально внедрить вредоносный JavaScript-код в любом месте web-страницы. Код будет выполнен, когда пользователь щелкнет на уведомление, предлагающее перевести страницу на другой язык.
Эксперты разработали PoC-код для эксплуатации уязвимости и продемонстрировали, что атаку можно осуществить путем простого добавления комментария к видео на платформе YouTube, написанного на языке, отличном от английского, вместе с полезной нагрузкой XSS. Аналогичным образом запрос на добавление в друзья из профиля Facebook, содержащий контент на другом языке и полезную нагрузку XSS, выполняет код, как только получатель запроса проверяет профиль пользователя.
Специалисты сообщили о проблеме Microsoft, и техногигант исправил уязвимость в версии браузера 91.0.864.59.