Microsoft kompaniýanyň hünärmenleri iki sany meseläni düzedýän Microsoft Edge brauzeri üçin howpsuzlyk täzelenmesini çykardy. Gowşaklyklardan biriniň ulanylmagy erkin kody goşmak we islendik web-saýtyň çäginde ony ýerine ýetirmek mümkinçiligini berýärdi.

Bu mesele (CVE-2021-34506) umumy saýtara skripting (UXSS) gowşaklygy bolup, Microsoft Translator programmanyň üsti bilen brauzeriň girizilen funksiýasyny ulanmak arkaly web-sahypalary awtomatiki görnüşde terjime etmek bilen baglanyşyklydyr.

«Adaty XSS hadysalardan tapawutlylykda, UXSS brauzer programmanyň ýa-da brauzer giňeltmeleriniň gowşaklyklary XSS ýagdaýyny döretmek we zyýanly kody ýerine ýetirmek üçin ulanylýarlar» - diýip CyberXplore bilermenleri düşündirdiler.

Terjime funksiýasy gowşak koduň bölegini saklaýanlygy sebäpli, girizilýän maglumatlar arassalanmaýar, bu bolsa web-sahypanyň islendik ýerine zyýanly JavaScript-kody girizmäge mümkinçilik berýär. Ulanyjy sahypany başga dile terjime etmegi teklip edýän habara basan ýagdaýynda kod ýerine ýetiriler.

Hünärmenler bu meseläni Microsoft-a habar berenlerinden soňra, kompaniýa brauzeriň 91.0.864.59 wersiýasynda gowşaklygy düzetdi.

Çeşme: securitylab.ru