Bug Microsoft Edge Bisa Membiarkan Peretas Mencuri Rahasia Anda untuk Situs Apa Pun

Bug Microsoft Edge Bisa Membiarkan Peretas Mencuri Rahasia Anda untuk Situs Apa Pun

Microsoft minggu lalu meluncurkan pembaruan untuk browser Edge dengan perbaikan untuk dua masalah keamanan, salah satunya menyangkut kerentanan bypass keamanan yang dapat dieksploitasi untuk menyuntikkan dan mengeksekusi kode arbitrer dalam konteks situs web mana pun.

Dilacak sebagai CVE-2021-34506 (Skor CVSS: 5.4), kelemahannya berasal dari masalah universal cross-site scripting (UXSS) yang dipicu saat menerjemahkan halaman web secara otomatis menggunakan browser fitur bawaan melalui Microsoft Translator.

Bacaan Lainnya

Dikreditkan untuk menemukan dan melaporkan CVE-2021-34506 adalah Ignacio Laurence serta Vansh Devgan dan Shivam Kumar Singh dengan CyberXplore Private Limited.

“Tidak seperti serangan XSS umum, UXSS adalah jenis serangan yang mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS, dan mengeksekusi kode berbahaya,” peneliti CyberXplore berkata dalam tulisan yang dibagikan dengan The Hacker News.

“Ketika kerentanan tersebut ditemukan dan dieksploitasi, perilaku browser terpengaruh dan fitur keamanannya dapat dilewati atau dinonaktifkan.”

Secara khusus, para peneliti menemukan bahwa fitur terjemahan memiliki sepotong kode rentan yang gagal membersihkan input, sehingga memungkinkan penyerang untuk berpotensi memasukkan kode JavaScript berbahaya di mana saja di halaman web yang kemudian dieksekusi ketika pengguna mengklik prompt di bilah alamat untuk menerjemahkan halaman.

Sebagai eksploitasi proof-of-concept (PoC), para peneliti menunjukkan kemungkinan untuk memicu serangan hanya dengan menambahkan komentar ke video YouTube, yang ditulis dalam bahasa selain bahasa Inggris, bersama dengan muatan XSS.

Dalam nada yang sama, permintaan pertemanan dari profil Facebook yang berisi konten bahasa lain dan muatan XSS ditemukan untuk mengeksekusi kode segera setelah penerima permintaan memeriksa profil pengguna.

Menyusul pengungkapan yang bertanggung jawab pada 3 Juni, Microsoft memperbaiki masalah tersebut pada 24 Juni, selain memberikan para peneliti $ 20.000 sebagai bagian dari program karunia bug.

Pembaruan terbaru (versi 91.0.864.59) ke browser berbasis Chromium dapat diunduh dengan mengunjungi Pengaturan dan lainnya > Tentang Microsoft Edge (edge://settings/help).

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait