當你正在享受微軟Edge瀏覽器內置的網頁翻譯功能時，可能觸發(fā)惡意代碼攻擊。

　　微軟上周推出了Edge瀏覽器更新，修復了兩個安全問題。其中一個就是利用網頁翻譯功能發(fā)起攻擊，它可以在網站代碼中注入和執(zhí)行任意代碼。

　　該漏洞被追蹤為CVE-2021-34506（CVSS評分：5.4），源于一個通用的跨網站腳本（UXSS）問題，該問題會在使用Edge瀏覽器內置的自動翻譯網頁功能時被觸發(fā)。

　　漏洞的發(fā)現者是Ignacio Laurence以及CyberXplore公司的Vansh Devgan和Shivam Kumar Singh。

　　“與常見的XSS攻擊不同，UXSS是一種利用瀏覽器或瀏覽器擴展中的客戶端漏洞以產生XSS條件，并執(zhí)行惡意代碼攻擊，”CyberXplore研究人員表示?！爱斣撀┒幢焕脮r，會繞過或禁用瀏覽器的安全功能?！?/p>

　　研究人員發(fā)現，翻譯功能中的一段代碼沒有清潔輸入，導致攻擊者可以在網頁任意地方插入惡意JavaScript，一旦用戶點擊地址欄的翻譯提示按鈕，就會執(zhí)行該代碼。

　　作為一個概念驗證（PoC）漏洞，研究人員證明，只需在YouTube視頻中添加一個非英文編寫的注解和一個XSS有效載荷，就可以觸發(fā)攻擊。

　　同樣，該漏洞還可以被應用在Facebook場景中，它可以藏匿在Facebook用戶發(fā)送的好友請求中，包含非英文編寫的注解和XSS有效載荷，一旦請求的接收者查看了該用戶的個人資料，就會執(zhí)行代碼。

　　在6月3日披露之后，微軟在6月24日（版本91.0.864.59）修復了該問題。此外，作為其漏洞賞金計劃的一部分，微軟還向研究人員獎勵了2萬美元。