Bulletins

Vulnérabilité dans Microsoft edge

bs1.jpg

Microsoft a publié des mises à jour pour le navigateur Edge avec des correctifs pour deux failles de sécurité, dont l'une concerne une vulnérabilité de contournement de sécurité qui pourrait être exploitée pour injecter et exécuter du code arbitraire dans le contexte de n'importe quel site Web. Répertorié sous le nom de CVE-2021-34506, la vulnérabilité provient d'un problème de scripting intersite universel (UXSS) qui est déclenché lors de la traduction automatique de pages Web à l'aide de la fonction intégrée du navigateur via Microsoft Translator.

Les chercheurs de CyberXplore Private Limited ont découvert la vulnérabilité et l'ont signalée en expliquant que l'UXSS est un type d'attaque qui exploite les vulnérabilités côté client du navigateur ou de ses extensions pour générer une condition XSS et exécuter un code malveillant.

 

Spécifiquement, dans le cas de microsoft edge, la fonction de traduction contenait un fragment de code vulnérable qui ne contrôlait pas les données d'entrée, ce qui permettait à un attaquant d'injecter un code JavaScript malveillant n'importe où dans la page Web, qui était ensuite exécuté lorsque l'utilisateur cliquait sur l'invite de la barre d'adresse pour traduire la page.

Suite à la divulgation de la vulnérabilité le 3 juin, Microsoft a corrigé le problème le 24 juin, en plus d'accorder aux chercheurs 20 000 $ dans le cadre de son programme de bug bounty.

Il est recommandé aux utilisateurs de Microsoft edge d'effectuer une mise à jour vers la dernière version.