Microsoft Edge Bug könnte Hacker Ihre Geheimnisse für jede Website zu stehlen haben

  • Microsoft hat letzte Woche Updates für den Edge-Browser ausgerollt, die zwei Sicherheitsprobleme beheben. Eines davon betrifft eine Sicherheitsumgehungsschwachstelle, die ausgenutzt werden könnte, um beliebigen Code im Kontext einer beliebigen Website einzuschleusen und auszuführen.

    Die Schwachstelle mit der Bezeichnung CVE-2021-34506 (CVSS-Score: 5.4) beruht auf einem universellen Cross-Site-Scripting (UXSS)-Problem, das beim automatischen Übersetzen von Webseiten mit der im Browser integrierten Funktion Microsoft Translator ausgelöst wird.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    Für die Entdeckung und Meldung von CVE-2021-34506 werden Ignacio Laurence sowie Vansh Devgan und Shivam Kumar Singh von CyberXplore Private Limited verantwortlich gemacht.

    “Im Gegensatz zu den üblichen XSS-Angriffen ist UXSS eine Angriffsart, die clientseitige Schwachstellen im Browser oder in Browsererweiterungen ausnutzt, um eine XSS-Bedingung zu erzeugen und bösartigen Code auszuführen”, so die Forscher von CyberXplore in einer Mitteilung an The Hacker News.

    “Wenn solche Schwachstellen gefunden und ausgenutzt werden, wird das Verhalten des Browsers beeinflusst und seine Sicherheitsfunktionen können umgangen oder deaktiviert werden.”

    Konkret fanden die Forscher heraus, dass die Übersetzungsfunktion ein Stück anfälligen Code enthielt, der die Eingaben nicht bereinigte, so dass ein Angreifer potenziell bösartigen JavaScript-Code an beliebiger Stelle in die Webseite einfügen kann, der dann ausgeführt wird, wenn der Benutzer auf die Eingabeaufforderung in der Adressleiste klickt, um die Seite zu übersetzen.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Als Proof-of-Concept (PoC)-Exploit demonstrierten die Forscher, dass es möglich ist, den Angriff auszulösen, indem sie einfach einen Kommentar zu einem YouTube-Video, das in einer anderen Sprache als Englisch verfasst ist, zusammen mit einer XSS-Nutzlast hinzufügen.

    In ähnlicher Weise wurde festgestellt, dass eine Freundschaftsanfrage von einem Facebook-Profil mit anderssprachigem Inhalt und dem XSS-Payload den Code ausführt, sobald der Empfänger der Anfrage das Profil des Benutzers auscheckt.

    Nach der verantwortlichen Offenlegung am 3. Juni hat Microsoft die Schwachstelle am 24. Juni behoben und den Forschern im Rahmen seines Bug Bounty-Programms 20.000 US-Dollar zugesprochen.

    Das neueste Update (Version 91.0.864.59) für den Chromium-basierten Browser kann unter Einstellungen und mehr > Über Microsoft Edge (edge://settings/help) heruntergeladen werden.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com