Специалисты компании Microsoft выпустили обновление безопасности для браузера Microsoft Edge, исправляющее две проблемы. Эксплуатация одной из уязвимостей позволяла внедрить и выполнить произвольный код в контексте любого web-сайта.

Проблема ( CVE-2021-34506 ) представляет собой уязвимость универсального межсайтового выполнения сценариев (UXSS) и связана с автоматическим переводом web-страниц с использованием встроенной функции браузера через Microsoft Translator.

«В отличие от обычных XSS-атак, в рамках UXSS используются уязвимости на стороне клиента в браузере или расширениях браузера для создания условия XSS и выполнения вредоносного кода», — пояснили эксперты из CyberXplore.

Функция перевода содержит фрагмент уязвимого кода, который не может очистить вводимые данные, что позволяет злоумышленнику потенциально внедрить вредоносный JavaScript-код в любом месте web-страницы. Код будет выполнен, когда пользователь щелкнет на уведомление, предлагающее перевести страницу на другой язык.

Специалисты сообщили о проблеме Microsoft, и техногигант исправил уязвимость в версии браузера 91.0.864.59.

Источник: securitylab.ru