Ένα bug στον Microsoft Edge θα μπορούσε να αφήσει τους χάκερ να κλέψουν πληροφορίες σας σε οποιονδήποτε ιστότοπο
Η Microsoft την περασμένη εβδομάδα παρουσίασε ενημερώσεις για το πρόγραμμα περιήγησης Edge με επιδιορθώσεις για δύο ζητήματα ασφαλείας, ένα από τα οποία αφορά μια ευπάθεια παράκαμψης ασφαλείας που θα μπορούσε να αξιοποιηθεί για την έγχυση και την εκτέλεση αυθαίρετου κώδικα στο πλαίσια οποιασδήποτε ιστοσελίδας.
Η αδυναμία στο CVE-2021-34506 (βαθμολογία CVSS: 5.4), οφείλεται σε ένα καθολικό σενάριο cross-site scripting (UXSS) που ενεργοποιείται κατά τη αυτόματη μετάφραση ιστοσελίδων χρησιμοποιώντας την ενσωματωμένη λειτουργία του προγράμματος περιήγησης μέσω του Microsoft Translator.
“Σε αντίθεση με τις συνηθισμένες επιθέσεις XSS, το UXSS είναι ένας τύπος επίθεσης που εκμεταλλεύεται τις ευπάθειες στο πρόγραμμα περιήγησης ή στις επεκτάσεις του, προκειμένου να δημιουργήσει μια συνθήκη XSS και να εκτελέσει τον κακόβουλο κώδικα”, ανέφεραν οι ερευνητές του CyberXplore.
Συγκεκριμένα, οι ερευνητές διαπίστωσαν ότι η δυνατότητα μετάφρασης είχε ένα κομμάτι ευάλωτου κώδικα που απέτυχε να εμποδίσει την είσοδο, επιτρέποντας έτσι σε έναν εισβολέα να εισάγει δυνητικά κακόβουλο κώδικα JavaScript οπουδήποτε στην ιστοσελίδα. Στη συνέχεια ο κώδικας εκτελείται όταν ο χρήστης κάνει κλικ στο μήνυμα στη γραμμή διευθύνσεων για μετάφραση της σελίδας.
Οι ερευνητές απέδειξαν ότι ήταν δυνατόν να πυροδοτηθεί η επίθεση απλά προσθέτοντας ένα σχόλιο σε ένα βίντεο του YouTube, το οποίο είναι γραμμένο σε άλλη γλώσσα εκτός από τα Αγγλικά, μαζί με ένα αρχείο XSS.
Με παρόμοιο τρόπο, ένα αίτημα φιλίας από ένα προφίλ Facebook που έχει διαφορετικό περιεχόμενο σε γλώσσα, το XSS μπορεί να εκτελέσει τον κώδικά του αμέσως μόλις ο παραλήπτης του αιτήματος εξετάσει το προφίλ του χρήστη.