Die Hacker Th3Pr0xyB0y und MrRajputHacker von Cyber Xplore haben eine UXSS-Lücke im Übersetzungsmodul von Microsoft Edge gefunden.
Was ist Universal Cross Site Scripting (UXSS)?
XSS erlaubt es einem Angreifer, beliebiges HTML und damit beliebiges Javascript auf eine Webseite zu schleusen. Dies passiert in der Regel serverseitig. Im Gegensatz dazu handelt es sich bei UXSS um einen Angriffstyp, der clientseitig Schwachstellen im Browser oder in Browser-Erweiterungen ausnutzt, um bösartigen Code auszuführen.Edge-Sicherheitslücke zufällig entdeckt
Th3Pr0xyB0y und MrRajputHacker sind durch Zufall auf die UXSS-Lücke gestoßen. Sie waren eigentlich auf der Suche nach Sicherheitslücken beim russischen Mailanbieter mail.ru, der bei HackerOne ein Bug Bounty Programm anbietet. Leider bisher erfolglos. Deshalb fiel ein Gespräch der beiden auf das Thema von Sicherheitslücken in Browsern und deren Erweiterungen. Anschließend keimte die Idee auf, bei mail.ru aufzugeben und im Microsoft Edge nach Schwachstellen zu suchen. Sie hatten ihr bisherigen Angriffsziel auf verschiedene Probleme getestet und es waren dort natürlich noch Überreste von bisherigen XSS-Versuchen vorhanden. Als sie dann die Übersetzungsfunktion von Edge aktivierten, erhielten sie ein Pop-up, der darauf hindeutete, dass ihr Angriff erfolgreich war. In Google Chrome klappte der Angriff nicht.Facebook, Google, YouTube über Edge-Lücke angreifbar
Microsoft Edge kann beim Besuch anderssprachiger Webseiten automatisch übersetzen. Genau in dieser Übersetzungsfunktion steckt ein Fehler. Dieser erlaubt es, beliebiges Javascript einzuschleusen. Mit der Schwachstelle konnte man, wenn der Nutzer die automatische Übersetzung aktiviert hat, Zugangsdaten und Cookies auf jeder besuchten Webseite stehlen. Die Sicherheitslücke wird unter CVE-2021-34506 geführt. Diese ist bereits seit dem 24. Juni 2021 durch ein Update für Microsofts Edge behoben.Exploit
Es reicht folgenden Code auf einer Webseite zu platzieren, um ein Pop-up über JavaScript auszulösen:“>img src=x onerror=alert(1)>
Proof of Concept Facebook
Proof of Concept Google / YouTube