Nosso blog

Mais uma! Pesquisadores de segurança russos descobrem vulnerabilidade gravíssima no Microsoft Edge.

A falha de uXSS (Universal Cross Site Scripting), descoberta por Vansh Devgan e Shivam Kumar Singh, permitia utilizar o recurso interno de tradução automática do navegador para realizar ataques em qualquer site. O vetor utilizado era uma tag de imagem mal formatada, contendo o callback "onerror", e dentro dele um código JavaScript malicioso. Como esse tipo de código não é um HTML válido e não é sanitizado, no momento em que a página era traduzida, a parte do código JavaScript era executada e o ataque acontecia. Os pesquisadores realizaram simulações dentro do Facebook, Google, YouTube e Windows Store Application, mas o ataque poderia ser aplicado em qualquer site. Os pesquisadores receberam 20 mil dólares da Microsoft como bounty e a falha já foi consertada nas versões mais recentes do Edge. As informações são do site CyberXplore.

Newsletter

Assine nossa newsletter para receber atualizações! News Receber em HTML? E-mail cadastrado!
Joomla Extensions powered by Joobi