Af Eskil Sørensen, 29/06/21
Microsoft rullede i sidste uge opdateringer ud til Edge-browseren med rettelser til to sikkerhedsproblemer, hvoraf den ene vedrører en sikkerhedsbypass-sårbarhed. Denne kunne udnyttes til at ’injecte’ og afvikle vilkårlig kode i tilknytning til et websted. Det skriver The Hacker News.
Sårbarheden har nummer CVE-2021-34506 og kommer fra et UXSS-problem (universal cross-site scripting). Den udløses, når man automatisk oversætter websider ved hjælp af browserens indbyggede funktion via Microsoft Translator.
UXSS muliggør en type angreb, der udnytter sårbarheder på klientsiden i browseren eller browserudvidelser for at generere en XSS-tilstand og afvikle ondsindet kode. Når sådanne sårbarheder udnyttes, påvirker det browseren, hvorved dens sikkerhedsfunktioner kan omgåes eller deaktiveres.
Sårbar kode i oversættelsesfunktionen
I dette tilfælde fandt de researchere, der opdagede sårbarheden, at oversættelsesfunktionen havde et stykke sårbar kode, der ikke kunne desinficere input. Men dette ville en angriber kunne indsætte ondsindet JavaScript-kode hvor som helst på websiden. Koden ville i givet fald kunne afvikles, når brugeren klikkede på prompten i adresselinjen oversæt siden.
Researcherne viste ifølge The Hacker News, at det var muligt at udløse angrebet ved blot at tilføje en kommentar til en YouTube-video, der var skrevet på et andet sprog end engelsk sammen med en XSS-payload. På samme måde kunne en venneanmodning fra en Facebook-profil indeholdende andet sprogindhold og XSS-payload anvendes til at afvikle koden, så snart modtageren af anmodningen tjekkede afsenderens profil ud.
Sårbarheden blev meldt til Microsoft den 3. juni, som rettede den den 24. juni og samtidig tildelte researcherne 20.000 dollar som led i Microsofts bug-bounty-program.
Den seneste opdatering (version 91.0.864.59) til den Chromium-baserede browser kan downloades ved at gå til Indstillinger, Om Microsoft Edge. Herefter søger browseren selv efter opdateringen og installerer den. Har man automatisk opdatering, sker dette af sig selv.
Links:
https://thehackernews.com/2021/06/microsoft-edge-bug-couldve-let-hackers.html