微软 Edge bug 导致黑客窃取用户在任意站点的机密信息，颁发2万美元奖金

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

该漏洞的编号为CVE-2021-34506（CVSS评分为5.4），源自一个通用型跨站点脚本漏洞，当使用该浏览器的内置功能Microsoft Translator自动翻译网页时就会触发该漏洞。

CyberXplore Private 有限公司的三名研究员发现并报告了该漏洞，他们指出，“和常见的 XSS 攻击不同，UXSS 攻击利用位于浏览器或浏览器扩展中的客户端漏洞来生成 XSS 条件并执行恶意代码。当找到并利用这些漏洞时，浏览器的行为受影响且其安全功能可能被绕过或禁用。”

具体而言，研究人员发现该翻译功能含有易受攻击代码，未能清洁输入，从而导致攻击者可能在网页的任意地方插入恶意 JavaScript 带啊，之后当用户点击地址栏中的提示来翻译页面时就会执行恶意代码。

研究人员在 PoC exploit 视频中展示了如何仅通过向 YouTube 视频添加评论的方式且和 XSS payload触发攻击，该视频用英语以外的语言编写。

同样地，包含其它语言内容的 Facebook 资料的好友申请以及 XSS payload，只要申请接收者登出用户资料，就会执行该代码。

6月3日，研究员将问题告知微软，后者在6月24日修复并为研究员发放2万美元的奖金。

用户可访问设置和更多＞关于微软 Edge (edge://settings/help) 的方式下载该基于 Chromium 浏览器的最新更新（版本91.0.864.59）。