Фахівці компанії Microsoft випустили оновлення безпеки для браузера Microsoft Edge, що виправляє дві проблеми. Експлуатація однієї з уразливостей дозволяла впровадити і виконати довільний код у контексті будь-якого web-сайту.
Проблема ( CVE-2021-34506 ) являє собою уразливість універсального міжсайтового виконання сценаріїв (UXSS) і пов’язана з автоматичним перекладом web-сторінок з використанням вбудованої функції браузера через Microsoft Translator.
“На відміну від звичайних XSS-атак, в рамках UXSS використовуються уразливості на стороні клієнта в браузері або розширеннях браузера для створення умови XSS і виконання шкідливого коду”, – пояснили експерти з CyberXplore.
Функція перекладу містить фрагмент уразливого коду, який не може очистити дані, що вводяться, що дозволяє зловмисникові потенційно впровадити шкідливий JavaScript-код в будь-якому місці web-сторінки. Код буде виконаний, коли користувач клацне на повідомлення, що пропонує перевести сторінку на іншу мову.
Експерти розробили PoC-код для експлуатації уразливості і продемонстрували, що атаку можна здійснити шляхом простого додавання коментарів до відео на платформі YouTube, написаного на мові, відмінній від англійської, разом із корисним навантаженням XSS. Аналогічним чином запит на додавання в друзі з профілю Facebook, що містить контент на іншій мові і корисне навантаження XSS, виконує код, як тільки одержувач запиту перевіряє профіль користувача.
Фахівці повідомили про проблему Microsoft, і вона виправила уразливість в версії браузера 91.0.864.59.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як перенести Ваші контакти з iOS на Android за допомогою iCloud, Gmail або Google Drive? ІНСТРУКЦІЯ
Як вибрати найкращий iPad 2021? ПОРАДИ
Як віддалено вийти з Gmail на загубленому пристрої? ІНСТРУКЦІЯ
Майнінг криптовалют: що таке Taproot та який захист у Bitcoin
Дослідження на основі відкритих джерел: де та як використовується? ІНСТРУКЦІЯ
До речі, Wi-Fi зі специфічною назвою мережі виводить з ладу iPhone. Як виявилося, якщо підключитися до бездротової мережі з символьною назвою, то модуль зависає, при цьому потім його можна включити. Проблема стосується всіх моделей iPhone, в тому числі найновіших. Збій можна перемогти тільки за допомогою повного скидання налаштувань.
Також у продуктах Microsoft в 2020 році виявлено 1268 уразливостей, що є рекордним числом. У період з 2016 по 2020 рік кількість уразливостей в рішеннях американської компанії збільшилася на 181%.
Microsoft оновлює OneDrive в Інтернеті та Android основними функціями редагування фотографій. Серед функцій редагування, які зараз підтримує OneDrive, Ви можете обрізати, обертати та вносити коригування світла та кольору у фотографії. Microsoft також пропонує кілька інших функцій для версії програми OneDrive для Android. Тепер Ви можете передавати фотографії на пристрій із підтримкою Chromecast і дозволяти іншим спостерігати, як Ви гортаєте їх у прямому ефірі.
Окрім цього, в Україні заблокували мережу сall-центрів РФ, які збирали особисті дані українців. Організатори залучали до роботи до 150 операторів, які працювали у дві зміни.
