微软MicrosoftEdge最有用的功能之一让用户容易受到攻击
Microsoft 已采取行动修复了Web 浏览器Edge翻译功能中的一个漏洞,该漏洞使用户容易受到攻击。根据安全研究人员的说法,该漏洞可能允许攻击者在调用翻译器时自动或按需发起远程代码执行攻击。
由于该漏洞存在于 Web 浏览器中,从本质上讲,攻击者可以利用它在几乎任何网站上远程注入和执行任意代码,包括 Facebook、YouTube 和 Instagram 之类的网站。
我们正在研究我们的读者如何将 VPN 与 Netflix 等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过 60 秒的时间,您还可以选择参加抽奖活动以赢取价值 100 美元的亚马逊代金券或五个 1 年期 ExpressVPN 订阅之一。
尽管微软承认利用该漏洞并不太复杂,并且无需任何权限即可进行攻击,但该漏洞的严重性评级为 5.4/10,相当低。
在一篇博客文章中,发现该漏洞的安全研究人员将其描述为通用跨站点脚本 (uXSS) 漏洞。
与常见的 XSS 攻击不同,uXSS 是一种攻击,它利用浏览器(或通常是浏览器扩展)中的客户端漏洞,目的是产生条件来发起 XSS 攻击。
在这种情况下,研究人员发现 Edge 中的翻译功能可以用来绕过浏览器的大部分安全功能,并调用任何恶意功能。
为了演示这个漏洞,研究人员在几个流行的网站上运行了这个漏洞。在其中一个概念验证视频中,他们只需向用英语以外的语言编写的 Facebook 视频添加评论,即可运行恶意脚本。
研究人员获得了微软 20,000 美元的赏金,该公司已经修补了该漏洞。