微软Edge浏览器的这个bug可能让攻击者窃取你的任意信息

当你正在享受微软Edge浏览器内置的网页翻译功用时，可能触发歹意代码进犯。

微软上星期推出了Edge浏览器更新，修复了两个安全问题。其中一个就是使用网页翻译功用建议进犯，它能够在网站代码中注入和履行恣意代码。

该缝隙被追寻为CVE-2021-34506（CVSS评分：5.4），源于一个通用的跨网站脚本（UXSS）问题，该问题会在运用Edge浏览器内置的自动翻译网页功用时被触发。

该缝隙的发现者是Ignacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。

"与常见的XSS进犯不同，UXSS是一种使用浏览器或浏览器扩展中的客户端缝隙以发生XSS条件，并履行歹意代码进犯，"CyberXplore研究人员表明。“当该缝隙被使用时，会绕过或禁用浏览器的安全功用。”

研究人员发现，翻译功用中的一段代码没有清洁输入，导致进犯者能够在网页恣意当地刺进歹意JavaScript，一旦用户点击地址栏的翻译提示按钮，就会履行该代码。

作为一个概念验证（PoC）缝隙，研究人员证明，只需在YouTube视频中添加一个非英文编写的注解和一个XSS有效载荷，就能够触发进犯。

相同，该缝隙还能够被应用在Facebook场景中，它能够藏匿在Facebook用户发送的老友恳求中，包括非英文编写的注解和XSS有效载荷，一旦恳求的接收者查看了该用户的个人资料，就会履行代码。

在6月3日发表之后，微软在6月24日（版别91.0.864.59）修复了该问题。此外，作为其缝隙赏金方案的一部分，微软还向研究人员奖励了2万美元。