Недавно Microsoft исправила UXSS-уязвимость в браузере Edge, возникшую из-за встроенного переводчика Microsoft Translator. Багу присвоен идентификатор CVE-2021-34506 (5,4 балла по шкале CVSS), и он мог использоваться для внедрения и выполнения произвольного кода в контексте любого сайта.
Проблему обнаружили несколько ИБ-экспертов, включая специалистов из компании CyberXplore Private Limited, которые и рассказали о баге более детально.
«В отличие от обычных XSS-атак, UXSS (universal cross-site scripting) эксплуатирует уязвимости на стороне клиента, в самом браузере или его расширениях, чтобы создать XSS и выполнить вредоносный код, — пишут исследователи. — Когда такие уязвимости обнаруживаются и используются, это влияет на поведение браузера, а его функции безопасности можно обойти или отключить».
Оказалось, что переводчик содержал фрагмент уязвимого кода, из-за которого не мог корректно очистить вводимые данные. Это позволяло злоумышленнику внедрить свой вредоносный JavaScript в любое место веб-страницы, а затем код выполнялся, когда пользователь пытался перевести эту страницу.
В качестве PoC исследователи продемонстрировали атаку путем добавления комментарии к видео на YouTube. Комментарий был написан на языке, отличном от английского, а также содержал XSS-пейлоад.
Точно так же можно было эксплуатировать, например, запрос на добавление в друзья из профиля Facebook, если тот содержал контент на другом языке и полезную нагрузку. Выполнение кода происходило после того, как получатель запроса проверял профиль отправителя и использовал переводчик.
Microsoft устранила эту проблему 24 июня 2021 года, а также выплатила исследователям 20 000 долларов в рамках своей программы bug bounty.
