Lỗ hổng CVE-2021-34506 được đánh giá mức độ nghiêm trọng (CVSS 5,4). Lỗ hổng bảo mật này có thể được tin tặc lợi dụng để chèn và thực thi mã Javascript độc hại khi người dùng sử dụng tính năng dịch trang tự động Microsoft Translator được tích hợp trên trình duyệt.
CVE-2021-34506 được phát hiện và báo cáo bởi một nhóm các nhà nghiên cứu của CyberXlore Private Limited. Trong bài viết đăng trên trang Thehackernews, nhóm nghiên cứu này cho biết: “Không giống như các cuộc tấn công Cross-Site script (XSS) thông thường, Universal cross site script (UXSS) là một kiểu tấn công khai thác các lỗ hổng bên trong trình duyệt hoặc các tiện ích mở rộng của trình duyệt nhằm tạo ra một điều kiện XSS và thực thi mã độc. Khi các lỗ hổng như vậy được tìm thấy và khai thác thì trình duyệt sẽ bị ảnh hưởng và các tính năng bảo mật của nó có thể bị bỏ qua hoặc vô hiệu hóa”.
Cụ thể, các nhà nghiên cứu đã phát hiện tính năng dịch của tiện ích mở rộng Microsoft Translator tồn tại một đoạn mã mà thông qua đó những kẻ tấn công có khả năng chèn mã JavaScript độc hại vào một vị trí bất kỳ trên trang web. Sau đó, mã độc sẽ được kích hoạt khi người dùng nhấp vào lời nhắc dịch trang xuất hiện trên thanh địa chỉ.
Ngày 24/6, sau 3 tuần kể từ khi nhận được báo cáo, Microsoft đã khắc phục sự cố và thưởng 20.000 USD cho các chuyên gia bảo mật CyberXplore.
Hiện nay, người dùng có thể tải xuống bản cập nhật mới nhất (Phiên bản 91.0.864.59) cho trình duyệt trên Chromium bằng cách truy cập Setting and more/ About Microsoft Edge.
Phạm Nam
11:00 | 01/02/2021
13:00 | 14/09/2021
10:00 | 04/02/2022
17:00 | 23/07/2021
16:00 | 25/06/2021
18:00 | 15/07/2021
08:00 | 10/05/2021
10:00 | 06/02/2025
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
13:00 | 25/12/2024
Năm 2024 sắp kết thúc, hãy cùng điểm lại những sự cố công nghệ nghiêm trọng nhất xảy ra trong năm qua, ảnh hưởng đến hàng tỷ người trên toàn cầu.
10:00 | 12/12/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025