Vulnérabilité découverte dans Edge lors de l'utilisation de Microsoft Translator

Microsoft n'arrête pas d'essayer de faire de votre Edge navigateur l'un des plus sûrs pour surfer sur Internet. Bien qu'il soit encore loin des parts de marché de Chrome, le leader du secteur, la vérité est que le navigateur de Microsoft gagne des adeptes. Cependant, malgré les améliorations apportées par Redmond, la vérité est que ce n'est pas sans défauts. Maintenant, le dernier a été découvert un problème de sécurité qui met en péril notre vie privée et notre sécurité.

Tout est éloigné de la semaine dernière. Le 24, Microsoft a décidé de publier une nouvelle mise à jour pour son navigateur Edge, qui inclut des corrections pour deux problèmes de sécurité. L'un d'eux concerne une vulnérabilité de contournement de sécurité qui pourrait être exploitée pour insérer et exécuter du code arbitraire sur n'importe quel site Web. Ce bogue a été enregistré comme CVE-2021-34506 et apporte avec lui un problème de scriptage intersites universel (UXSS). Ce script est activé lorsque nous utilisons l'application Microsoft Translator depuis le navigateur.

Vulnérabilité découverte dans Edge lors de l'utilisation de Microsoft Translator

Nouveau bug localisé dans les sites croisés universels (UXSS)

Derrière la découverte de cette nouvelle vulnérabilité se trouvent les chercheurs Ignacio Ignacio Laurence, Vansh Devgan et Shivam Kumar Singh appartenant à CyberXplore Private Limited. Cette découverte est connue sous le nom de vulnérabilité de script universel intersites (UXSS) . Cela signifie qu'ils utilisent des attaquants pour accéder aux données de notre navigateur privé à partir du site Web « X » tout en parcourant le site Web malveillant « Y ». Selon ces chercheurs, cette attaque UXSS exploite les vulnérabilités des utilisateurs dans les extensions de navigateur afin d'exécuter du code malveillant, contrairement à ce qui se passe avec une attaque XSS courante. Par la suite, le navigateur est affecté une fois cette vulnérabilité exploitée, ce qui finit par provoquer la désactivation de ses fonctions de sécurité.

Concrètement, les chercheurs ont découvert un fragment de code susceptible d'être violé dans une fonction de traduction de la page Microsoft Translator. Ce fait a permis à tout pirate informatique ou utilisateur malveillant d'insérer un code JavaScript malveillant à l'intérieur de la page Web, de sorte que l'utilisateur l'exécuterait sans le savoir en cliquant sur le message dans la barre d'adresse de Microsoft Translator.

Les chercheurs susmentionnés ont également démontré d'autres vulnérabilités. D'une part, il est possible de mener une attaque en ajoutant simplement un commentaire à un YouTube vidéo ou en faisant une demande d'ami à un Facebook profil. Dans les deux cas, du contenu dans une langue autre que l'anglais a été inclus, ce qui, avec une charge de l'extension XSS, a entraîné l'exécution immédiate du code.

Mettez à jour Edge pour résoudre le problème

Heureusement, ce problème a déjà été corrigé par Microsoft dans sa dernière mise à jour disponible, quelle version est 91.0.864.59. C'est pourquoi, comme nous le disons toujours, il est fortement recommandé de maintenir nos applications à jour et dans ce cas le navigateur à la dernière version, car cela corrige toujours les erreurs et les vulnérabilités telles que celle dont nous avons discuté.

Actualiser Microsoft Edge

Pour garder Microsoft Edge à jour vers la dernière version, nous devons ouvrir le navigateur et cliquer sur les trois points en haut à droite. Ici, nous cliquons sur le Section «Configuration» . Cela ouvrira une nouvelle fenêtre et dans la colonne de gauche, cliquez sur « À propos de Microsoft Edge » . Sur le côté droit, nous pouvons voir la dernière version disponible et au cas où il y aurait un téléchargement pour pouvoir le faire.