Ie

Microsoft a déployé la semaine dernière des mises à jour pour le navigateur Edge avec correctifs pour deux problèmes de sécurité, dont l’un concerne une vulnérabilité de contournement de sécurité qui pourrait être exploitée pour injecter et exécuter du code arbitraire dans le contexte de n’importe quel site Web.

Suivi comme CVE-2021-34506 (score CVSS : 5,4), la faiblesse provient d’un problème de scriptage intersites universel (UXSS) qui se déclenche lors de la traduction automatique de pages Web à l’aide du navigateur fonctionnalité intégrée via Microsoft Translator.

Équipes De Débordement De Pile

Ignacio Laurence ainsi que Vansh Devgan et Shivam Kumar Singh avec CyberXplore Private Limited sont crédités pour avoir découvert et signalé le CVE-2021-34506.

« Contrairement aux attaques XSS courantes, UXSS est un type d’attaque qui exploite les vulnérabilités côté client dans le navigateur ou les extensions de navigateur afin de générer une condition XSS et d’exécuter du code malveillant », chercheurs CyberXplore mentionné dans un article partagé avec The Hacker News.

Publicité
YouTube video

« Lorsque de telles vulnérabilités sont découvertes et exploitées, le comportement du navigateur est affecté et ses fonctionnalités de sécurité peuvent être contournées ou désactivées. »

Plus précisément, les chercheurs ont découvert que la fonction de traduction contenait un morceau de code vulnérable qui ne parvenait pas à nettoyer les entrées, permettant ainsi à un attaquant d’insérer potentiellement du code JavaScript malveillant n’importe où dans la page Web, qui est ensuite exécuté lorsque l’utilisateur clique sur l’invite dans la barre d’adresse pour traduire la page.

Gestion Des Mots De Passe D'Entreprise

En tant qu’exploit de preuve de concept (PoC), les chercheurs ont démontré qu’il était possible de déclencher l’attaque simplement en ajoutant un commentaire à une vidéo YouTube, qui est écrite dans une langue autre que l’anglais, avec une charge utile XSS.

YouTube video

Dans la même veine, une demande d’ami d’un profil Facebook contenant un autre contenu linguistique et la charge utile XSS a été trouvée pour exécuter le code dès que le destinataire de la demande a consulté le profil de l’utilisateur.

À la suite d’une divulgation responsable le 3 juin, Microsoft a résolu le problème le 24 juin, en plus d’attribuer 20 000 $ aux chercheurs dans le cadre de son programme de primes aux bogues.

La dernière mise à jour (version 91.0.864.59) du navigateur basé sur Chromium peut être téléchargée en visitant Paramètres et plus > À propos de Microsoft Edge (edge://settings/help).


Rate this post
Publicité
Article précédent11 meilleurs sites Web de travail comme AnimeFrenzy en 2021
Article suivantLe projet de fans de rétro-ingénierie de GTA 3 et Vice City est de retour en ligne après le retrait de Take-Two • Fr.techtribune
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici