Microsoft minggu lalu meluncurkan pembaruan untuk browser Edge dengan perbaikan untuk dua masalah keamanan, salah satunya menyangkut kerentanan bypass keamanan yang dapat dieksploitasi untuk menyuntikkan dan mengeksekusi kode dalam konteks situs web mana pun.
Dilacak sebagai CVE-2021-34506 (skor CVSS: 5,4), kelemahannya berasal dari masalah skrip lintas situs universal (UXSS) yang dipicu saat menerjemahkan halaman web secara otomatis menggunakan fitur bawaan browser melalui Microsoft Translator.
Peneliti yang menemukan dan melaporkan CVE-2021-34506 adalah Ignacio Laurence serta Vansh Devgan dan Shivam Kumar Singh dengan CyberXplore Private Limited.
“Tidak seperti serangan XSS umum, UXSS adalah jenis serangan yang mengeksploitasi kerentanan sisi klien di browser atau ekstensi browser untuk menghasilkan kondisi XSS, dan mengeksekusi kode berbahaya,” kata peneliti CyberXplore dalam sebuah artikel yang dibagikan dengan The Hacker News.
Secara khusus, para peneliti menemukan bahwa fitur terjemahan memiliki sepotong kode rentan yang gagal untuk membersihkan input, sehingga memungkinkan penyerang untuk berpotensi memasukkan kode JavaScript berbahaya di mana saja di halaman web yang kemudian dieksekusi ketika pengguna mengklik prompt di bilah alamat untuk menerjemahkan halaman.
Sebagai eksploitasi proof-of-concept (PoC), para peneliti menunjukkan kemungkinan untuk memicu serangan hanya dengan menambahkan komentar ke video YouTube, yang ditulis dalam bahasa selain bahasa Inggris, bersama dengan muatan XSS.
Selengkapnya: The Hacker News
