Microsoft khắc phục lỗ hổng bảo mật trên trình duyệt Edge

09:00 | 07/07/2021 | LỖ HỔNG ATTT

Ngày 24/6, hãng Microsoft phát hành bản cập nhật cho trình duyệt Edge nhằm khắc phục lỗ hổng định danh CVE-2021-34506, có thể cho phép thực thi mã tùy ý trong nội dung của bất kỳ trang web nào.

Microsoft khắc phục lỗ hổng bảo mật trên trình duyệt Edge

Lỗ hổng CVE-2021-34506 được đánh giá mức độ nghiêm trọng (CVSS 5,4). Lỗ hổng bảo mật này có thể được tin tặc lợi dụng để chèn và thực thi mã Javascript độc hại khi người dùng sử dụng tính năng dịch trang tự động Microsoft Translator được tích hợp trên trình duyệt.

CVE-2021-34506 được phát hiện và báo cáo bởi một nhóm các nhà nghiên cứu của CyberXlore Private Limited. Trong bài viết đăng trên trang Thehackernews, nhóm nghiên cứu này cho biết: “Không giống như các cuộc tấn công Cross-Site script (XSS) thông thường, Universal cross site script (UXSS) là một kiểu tấn công khai thác các lỗ hổng bên trong trình duyệt hoặc các tiện ích mở rộng của trình duyệt nhằm tạo ra một điều kiện XSS và thực thi mã độc. Khi các lỗ hổng như vậy được tìm thấy và khai thác thì trình duyệt sẽ bị ảnh hưởng và các tính năng bảo mật của nó có thể bị bỏ qua hoặc vô hiệu hóa”.

Cụ thể, các nhà nghiên cứu đã phát hiện tính năng dịch của tiện ích mở rộng Microsoft Translator tồn tại một đoạn mã mà thông qua đó những kẻ tấn công có khả năng chèn mã JavaScript độc hại vào một vị trí bất kỳ trên trang web. Sau đó, mã độc sẽ được kích hoạt khi người dùng nhấp vào lời nhắc dịch trang xuất hiện trên thanh địa chỉ.

Ngày 24/6, sau 3 tuần kể từ khi nhận được báo cáo, Microsoft đã khắc phục sự cố và thưởng 20.000 USD cho các chuyên gia bảo mật CyberXplore.

Hiện nay, người dùng có thể tải xuống bản cập nhật mới nhất (Phiên bản 91.0.864.59) cho trình duyệt trên Chromium bằng cách truy cập Setting and more/ About Microsoft Edge.

Phạm Nam

‹ › ×

Tin liên quan

Hàng triệu người dùng đã tải xuống 28 tiện ích độc hại trong Chrome và Edge

11:00 | 01/02/2021

Công ty bảo mật Avast (Cộng hòa Séc) cảnh báo, mã độc ẩn trong 28 tiện ích mở rộng của bên thứ ba dành cho các trình duyệt Google Chrome và Microsoft Edge có khả năng chuyển hướng người dùng đến quảng cáo hoặc trang web lừa đảo.

Microsoft cảnh báo nguy cơ Windows bị lây nhiễm mã độc qua tập tin Office

13:00 | 14/09/2021

Microsoft vừa phát đi cảnh báo về nguy cơ bảo mật mới cho phép tin tặc tận dụng các tập tin Office để cài đặt mã độc lên máy tính của nạn nhân.

Giải mã mã độc WhisperGate

10:00 | 04/02/2022

Tiêu điểm của tình hình an ninh mạng trên thế giới thời gian qua là làn sóng tấn công hướng đến các cơ quan, tổ chức, chính phủ tại Ukraine. WhisperGate - mã độc được sử dụng trong chiến dịch tấn công này đã thu hút sự chú ý lớn của dư luận. Bài báo này giới thiệu tới quý độc giả góc nhìn kỹ thuật về WhisperGate và những khuyến nghị của Microsoft dành cho người dùng.

Hệ thống chấm điểm lỗ hổng bảo mật

17:00 | 23/07/2021

Theo tiêu chuẩn IETF RFC 4949 [1], lỗ hổng bảo mật là điểm yếu trong thiết kế, triển khai hoặc vận hành và quản lý của hệ thống có thể bị khai thác, dẫn đến các vi phạm chính sách bảo mật của hệ thống. Để đánh giá mức độ nghiêm trọng của một lỗ hổng, quản trị viên cần dựa vào hệ thống chấm điểm lỗ hổng phổ biến. Vậy hệ thống này là gì? Các tiêu chí để chấm điểm lỗ hổng bảo mật được thực hiện như thế nào?

NVIDIA vá lỗ hổng chipset Jetson

16:00 | 25/06/2021

NVIDIA vừa phát hành bản vá cho 9 lỗ hổng nghiêm trọng trong framework Jetson. Các lỗ hổng ảnh hưởng đến hàng triệu thiết bị IoT chạy chip NVIDIA Jetson, cho phép hacker tấn công bằng nhiều hình thức, bao gồm cả từ chối dịch vụ (DoS) và đánh cắp dữ liệu.

Microsoft phát hành bản vá khẩn cấp cho lỗ hổng PrintNightmare

18:00 | 15/07/2021

Microsoft vừa phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng PrintNightmare trong dịch vụ Windows Print Spooler, cho phép tin tặc chiếm quyền máy tính từ xa.

Những điều cần biết về CVE

08:00 | 10/05/2021

Các lỗ hổng và sự phơi nhiễm phổ biến (Common Vulnerabilities and Exposures - CVE) là các lỗ hổng bảo mật được tiết lộ và phơi bày công khai. Bài viết này trình bày lý do CVE trở thành tiêu chuẩn công nghiệp cho định danh các lỗ hổng và phơi nhiễm phổ biến hiện nay.

Tin cùng chuyên mục

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

14:00 | 05/03/2024

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).

Giải mã chiến dịch tấn công lừa đảo mới nhằm vào các cơ quan chính phủ ở Trung Đông

10:00 | 06/12/2023

Các cơ quan chính phủ ở Trung Đông hiện đang là mục tiêu của các chiến dịch tấn công lừa đảo mới được nhóm tin tặc TA402 triển khai để phân phối phần mềm độc hại có tên là IronWind. Bài viết này sẽ làm rõ các chiến dịch tấn công này dựa trên những phát hiện mới đây của công ty an ninh mạng Proofpoint (Mỹ).