當(dāng)你正在享受微軟Edge瀏覽器內(nèi)置的網(wǎng)頁(yè)翻譯功能時(shí)，可能觸發(fā)惡意代碼攻擊。

微軟上周推出了Edge瀏覽器更新，修復(fù)了兩個(gè)安全問(wèn)題。其中一個(gè)就是利用網(wǎng)頁(yè)翻譯功能發(fā)起攻擊，它可以在網(wǎng)站代碼中注入和執(zhí)行任意代碼。

該漏洞被追蹤為CVE-2021-34506(CVSS評(píng)分：5.4)，源于一個(gè)通用的跨網(wǎng)站腳本(UXSS)問(wèn)題，該問(wèn)題會(huì)在使用Edge瀏覽器內(nèi)置的自動(dòng)翻譯網(wǎng)頁(yè)功能時(shí)被觸發(fā)。

該漏洞的發(fā)現(xiàn)者是Ignacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。

"與常見(jiàn)的XSS攻擊不同，UXSS是一種利用瀏覽器或?yàn)g覽器擴(kuò)展中的客戶端漏洞以產(chǎn)生XSS條件，并執(zhí)行惡意代碼攻擊，"CyberXplore研究人員表示。“當(dāng)該漏洞被利用時(shí)，會(huì)繞過(guò)或禁用瀏覽器的安全功能。”

研究人員發(fā)現(xiàn)，翻譯功能中的一段代碼沒(méi)有清潔輸入，導(dǎo)致攻擊者可以在網(wǎng)頁(yè)任意地方插入惡意JavaScript，一旦用戶點(diǎn)擊地址欄的翻譯提示按鈕，就會(huì)執(zhí)行該代碼。

作為一個(gè)概念驗(yàn)證(PoC)漏洞，研究人員證明，只需在YouTube視頻中添加一個(gè)非英文編寫(xiě)的注解和一個(gè)XSS有效載荷，就可以觸發(fā)攻擊。

同樣，該漏洞還可以被應(yīng)用在Facebook場(chǎng)景中，它可以藏匿在Facebook用戶發(fā)送的好友請(qǐng)求中，包含非英文編寫(xiě)的注解和XSS有效載荷，一旦請(qǐng)求的接收者查看了該用戶的個(gè)人資料，就會(huì)執(zhí)行代碼。

在6月3日披露之后，微軟在6月24日(版本91.0.864.59)修復(fù)了該問(wèn)題。此外，作為其漏洞賞金計(jì)劃的一部分，微軟還向研究人員獎(jiǎng)勵(lì)了2萬(wàn)美元。