在Google,YouTube和Facebook域上成功测试了测试
通用跨站脚本安全研究人员声称,(UXSS)Microsoft Edge的翻译功能中的漏洞使用户打开了攻击,无论他们访问了哪个网站,安全研究人员都声称。beplay体育能用吗
净$ 20,000错误赏金研究人员为其利用的支出付费,将恶意的JavaScript插入网页中,并用文本编写的语言,该语言是针对目标用户边缘设置的非本地语言。beplay体育能用吗
如果Microsoft Translator通过单击相关提示,浏览器试图重新渲染页面,但未能呈现图像标签,触发错误事件并调用恶意函数来自动翻译或激活。
基于铬的浏览器的安全防御措施被有效载荷绕过> img src = x onerror = alert(1)>因为脆弱startpagetranslation功能无法消毒“> img图像标签或执行验证检查,该检查将掩盖“完整到文本,然后对其进行翻译处理”,请读博客文章由...出版Vansh Devgan和Shivam Kumar Singh印度Infosec公司网络普洛尔。
翻译中
只要网站beplay体育能用吗反映合适的XSS有效载荷,攻击将起作用,无论网站是否适当地对文本进行了正确消毒,研究人员都在暗示。beplay体育能用吗
二人用外语YouTube视频评论验证了这一假设,Google评论(概念验证视频),并且,取决于接受朋友请求,Facebook个人资料(视频)。
beplay体育能用吗Microsoft Store上的Web应用程序也很容易受到伤害,因为Microsoft使用Translator附加组件将应用程序运输,因此在概念验证视频定位Instagram中也证明了这一点:
此外,如果安全性,则声称研究员正在使用带有XSS有效载荷的培训实验室,当Edge翻译页面时,这些实验室将被触发。
低冲击
现在修补了漏洞(CVE-2021–34506)尽管在其下得到了巨大的奖励边缘漏洞赏金程序。
德文甘说:“赏金似乎比(应该]不应该],CVSS似乎是错误的。”“它实际上可以在整个Internet上的任何页面上触发XSS。”
软件工程师侯赛因·纳赛尔(Hussein Nasser)在YouTuber中非常受欢迎,他在他的情绪中回应了这些观点视频拍摄在利用上,将支出描述为“ Microsoft的低点”。
响应查询每日swbeplay2018官网ig- 他声称,从德文甘(Devgan)本人,微软拒绝进一步评论付款和CVSS分数之间的不匹配。
'世事皆可能'
Devgan和Kumar Singh受到启发,以强调他们在Mail中寻找错误的努力后,俄罗斯语言漏洞赏金计划因删除了由于安全脆弱性而被删除以进行翻译而感到沮丧。
Devgan写道:“我认为这些扩展程序可以普遍访问[浏览器]上的任何站点。”“就像您在Facebook.com上一样,他们可以访问该页面的完整DOM,cookie和JavaScript可能可能发生的任何可能。”
研究人员将6月3日的漏洞通知了微软,这家科技巨头于6月24日发布了一个补丁。