Microsoft a déployé la semaine dernière des mises à jour pour le navigateur Edge avec correctifs pour deux problèmes de sécurité, dont l’un concerne une vulnérabilité de contournement de sécurité qui pourrait être exploitée pour injecter et exécuter du code arbitraire dans le contexte de n’importe quel site Web.
Suivi comme CVE-2021-34506 (score CVSS : 5,4), la faiblesse provient d’un problème de scriptage intersites universel (UXSS) qui se déclenche lors de la traduction automatique de pages Web à l’aide du navigateur fonctionnalité intégrée via Microsoft Translator.
Ignacio Laurence ainsi que Vansh Devgan et Shivam Kumar Singh avec CyberXplore Private Limited sont crédités pour avoir découvert et signalé le CVE-2021-34506.
« Contrairement aux attaques XSS courantes, UXSS est un type d’attaque qui exploite les vulnérabilités côté client dans le navigateur ou les extensions de navigateur afin de générer une condition XSS et d’exécuter du code malveillant », chercheurs CyberXplore mentionné dans un article partagé avec The Hacker News.
« Lorsque de telles vulnérabilités sont découvertes et exploitées, le comportement du navigateur est affecté et ses fonctionnalités de sécurité peuvent être contournées ou désactivées. »
Plus précisément, les chercheurs ont découvert que la fonction de traduction contenait un morceau de code vulnérable qui ne parvenait pas à nettoyer les entrées, permettant ainsi à un attaquant d’insérer potentiellement du code JavaScript malveillant n’importe où dans la page Web, qui est ensuite exécuté lorsque l’utilisateur clique sur l’invite dans la barre d’adresse pour traduire la page.
En tant qu’exploit de preuve de concept (PoC), les chercheurs ont démontré qu’il était possible de déclencher l’attaque simplement en ajoutant un commentaire à une vidéo YouTube, qui est écrite dans une langue autre que l’anglais, avec une charge utile XSS.
Dans la même veine, une demande d’ami d’un profil Facebook contenant un autre contenu linguistique et la charge utile XSS a été trouvée pour exécuter le code dès que le destinataire de la demande a consulté le profil de l’utilisateur.
À la suite d’une divulgation responsable le 3 juin, Microsoft a résolu le problème le 24 juin, en plus d’attribuer 20 000 $ aux chercheurs dans le cadre de son programme de primes aux bogues.
La dernière mise à jour (version 91.0.864.59) du navigateur basé sur Chromium peut être téléchargée en visitant Paramètres et plus > À propos de Microsoft Edge (edge://settings/help).