Un bug de Microsoft Edge aurait pu laisser les pirates voler vos données

0

Microsoft a déployé récemment des mises à jour pour le navigateur Edge avec des correctifs pour deux problèmes de sécurité, dont l’un concerne une vulnérabilité de contournement de sécurité qui pourrait être exploitée pour injecter et exécuter du code arbitraire dans le contexte de n’importe quel site Web.

Identifié comme CVE-2021-34506 (score CVSS : 5,4), la faiblesse provient d’un problème de script inter-sites universel (UXSS) qui se déclenche lors de la traduction automatique de pages Web à l’aide de la fonctionnalité intégrée du navigateur via Microsoft Translator.

Ignacio Laurence ainsi que Vansh Devgan et Shivam Kumar Singh de CyberXplore Private Limited sont crédités pour avoir découvert et signalé le CVE-2021-34506.

« Contrairement aux attaques XSS courantes, UXSS est un type d’attaque qui exploite les vulnérabilités côté client dans le navigateur ou les extensions de navigateur afin de générer une condition XSS et d’exécuter du code malveillant », ont déclaré les chercheurs de CyberXplore.

« Lorsque de telles vulnérabilités sont découvertes et exploitées, le comportement du navigateur est affecté et ses fonctionnalités de sécurité peuvent être contournées ou désactivées. »

Plus précisément, les chercheurs ont découvert que la fonction de traduction contenait un morceau de code vulnérable qui ne parvenait pas à nettoyer les entrées, permettant ainsi à un attaquant d’insérer potentiellement du code JavaScript malveillant n’importe où dans la page Web, qui est ensuite exécuté lorsque l’utilisateur clique sur l’invite dans la barre d’adresse pour traduire la page.

En tant qu’exploit de preuve de concept, les chercheurs ont démontré qu’il était possible de déclencher l’attaque simplement en ajoutant un commentaire à une vidéo YouTube, qui est écrite dans une langue autre que l’anglais, avec une charge utile XSS.

Dans la même veine, une demande d’ami d’un profil Facebook contenant un autre contenu linguistique et la charge utile XSS exécutait le code dès que le destinataire de la demande a consulté le profil de l’utilisateur.

À la suite d’une divulgation responsable le 3 juin, Microsoft a résolu le problème le 24 juin, en plus d’attribuer 20 000 $ aux chercheurs dans le cadre de son programme de primes aux bogues.

La dernière mise à jour (version 91.0.864.59) du navigateur basé sur Chromium peut être téléchargée en visitant Paramètres et plus > À propos de Microsoft Edge (edge://settings/help).

Si cet article vous a plu, jetez un coup d’œil à nos bons plans.

Laisser un commentaire