Edge瀏覽器bug可引發(fā)UXSS攻擊,竊取網站私密信息。
上周,微軟發(fā)布了Edge瀏覽器的更新修復了2個安全漏洞,其中有一個安全繞過漏洞,可以被利用來對任意網站進行注入和執(zhí)行任意代碼。
其中CVE-2021-34506漏洞CVSS評分5.4分,屬于UXSS安全問題,在通過Microsoft Translator使用瀏覽器的內置功能翻譯web頁面時會自動觸發(fā)該漏洞。
CyberXplore研究人員分析稱,與常見的XSS漏洞不同,UXSS是利用瀏覽器或瀏覽器擴展中的客戶端安全漏洞來生成XSS條件和執(zhí)行惡意代碼的一類攻擊。
下面是受漏洞影響的startPageTranslation函數(shù)代碼:
研究人員制作了一個PoC文件,代碼如下:
漏洞復現(xiàn)步驟如下:
1、下載PoC文件(POC.html)或復制PoC文件中的內容并本地保存;file from
2、在PoC文件所在的文件夾啟動Python服務器,使用的命令如下:
python3 -m http.server 80
3、打開Microsoft Edge瀏覽器(v 91.0.864.48版本),訪問http://localhost/POC.html
4、翻譯器將在顯示頁面是另外一種語言,是否需要翻譯?點擊翻譯按鈕
5、頁面彈出alert(1)
遠程漏洞利用需要滿足2個條件:
1、遠程利用的攻擊者需要使用Edge瀏覽器;
2、Edge瀏覽器需要開啟自動翻譯功能。
PoC視頻參見:https://youtu.be/XfTN7fPtB1s
研究人員利用該漏洞在谷歌、Facebook、Youtube等網站上進行了測試:
研究人員創(chuàng)建了一個含有外國語言名字和xss payload的介紹,并發(fā)送給受害者一個好友請求(受害者需要使用有漏洞的Edge瀏覽器),一旦受害者查看簡介,就會因為自動翻譯而出現(xiàn)XSS彈窗。
Facebook的PoC視頻參見:https://youtu.be/tTEethBKkRc
Youtube
研究人員創(chuàng)建了一個youotube視頻,輸入含有xss payload的評論,任何不同語言的用戶查看該網頁被使用自動翻譯功能,就會被攻擊。Youtube的PoC視頻參見:https://youtu.be/2ogwUdszDsY
Windows應用商店
研究人員發(fā)現(xiàn)Windows商店中基于web的應用也會受到該漏洞的影響,因為Windows應用商店中也有使用相同Microsoft Edge Translator的應用,會觸發(fā)UXSS攻擊。