當你正在享受微軟Edge瀏覽器內(nèi)置的網(wǎng)頁翻譯功能時，可能觸發(fā)惡意代碼攻擊,。

　　微軟上周推出了Edge瀏覽器更新,，修復(fù)了兩個安全問題。其中一個就是利用網(wǎng)頁翻譯功能發(fā)起攻擊，它可以在網(wǎng)站代碼中注入和執(zhí)行任意代碼,。

　　該漏洞被追蹤為CVE-2021-34506（CVSS評分：5.4）,，源于一個通用的跨網(wǎng)站腳本（UXSS）問題，該問題會在使用Edge瀏覽器內(nèi)置的自動翻譯網(wǎng)頁功能時被觸發(fā),。

　　漏洞的發(fā)現(xiàn)者是Ignacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh,。

　　“與常見的XSS攻擊不同，UXSS是一種利用瀏覽器或瀏覽器擴展中的客戶端漏洞以產(chǎn)生XSS條件,，并執(zhí)行惡意代碼攻擊,，”CyberXplore研究人員表示?！爱斣撀┒幢焕脮r,，會繞過或禁用瀏覽器的安全功能?！?/p>

　　研究人員發(fā)現(xiàn),，翻譯功能中的一段代碼沒有清潔輸入，導(dǎo)致攻擊者可以在網(wǎng)頁任意地方插入惡意JavaScript,，一旦用戶點擊地址欄的翻譯提示按鈕,，就會執(zhí)行該代碼。

　　作為一個概念驗證（PoC）漏洞,，研究人員證明,，只需在YouTube視頻中添加一個非英文編寫的注解和一個XSS有效載荷，就可以觸發(fā)攻擊,。

　　同樣,，該漏洞還可以被應(yīng)用在Facebook場景中，它可以藏匿在Facebook用戶發(fā)送的好友請求中,，包含非英文編寫的注解和XSS有效載荷,，一旦請求的接收者查看了該用戶的個人資料，就會執(zhí)行代碼,。

　　在6月3日披露之后,，微軟在6月24日（版本91.0.864.59）修復(fù)了該問題。此外,，作為其漏洞賞金計劃的一部分,，微軟還向研究人員獎勵了2萬美元。