หน้าแรก Applications Microsoft Edge มีบั๊กที่ปล่อยให้แฮ็กเกอร์ดูดความลับคุณจากเว็บไหนก็ได้

Microsoft Edge มีบั๊กที่ปล่อยให้แฮ็กเกอร์ดูดความลับคุณจากเว็บไหนก็ได้

แบ่งปัน


เมื่อสัปดาห์ที่แล้ว ไมโครซอฟท์ได้ออกตัวอัพเดทสำหรับบราวเซอร์ Edge โดยเป็นการแก้ไขปัญหาด้านความปลอดภัย 2 รายการด้วยกัน มีรายการหนึ่งเป็นช่องโหว่ที่ทำให้ข้ามระบบความปลอดภัยที่มีเพื่อฝังและรันโค้ดอันตรายผ่านเว็บใดๆ ก็ได้

ช่องโหว่นี้อยู่ภายใต้รหัส CVE-2021-34506 (คะแนนความรุนแรงเท่ากับ 5.4 ตามสเกล CVSS) เกิดจากปัญหาเกี่ยวกับ Universal Cross-Site Scripting (UXSS) ที่เกิดขึ้นอัตโนมัติเมื่อมีการแปลเว็บเพจโดยใช้ฟีเจอร์บิวท์อินบนบราวเซอร์อย่าง Microsoft Translator

ผู้ค้นพบช่องโหว่นี้ได้แก่ Ignacio Laurence, Vansh Devgan, และ Shivam Kumar Singh ร่วมกับบริษัท CyberXplore Private Limited ซึ่งช่องโหว่แบบ UXSS แตกต่างจาก XSS ทั่วไปตรงที่อาศัยช่องโหว่ที่ฝั่งบราวเซอร์ของไคลเอนต์แทน

โดยนักวิจัยชี้ว่าฟีเจอร์แปลภาษานี้มีชุดโค้ดที่เป็นช่องโหว่ ที่ทำให้ไม่สามารถคัดกรองข้อมูลป้อนเข้าได้ เปิดช่องให้ผู้โจมตีใส่โค้ดจาวาสคริปต์ที่เป็นอันตรายบนเว็บเพจ จากนั้นก็รันตัวเองขึ้นเมื่อผู้ใช้คลิกพร้อมต์บนแอดเดรสบาร์เพื่อสั่งแปลภาษาบนเว็บนั้นๆ

ที่มา : THN