Microsoft あなたを作ろうとするのをやめない エッジ(Edge) インターネットサーフィンに関しては、ブラウザは最も安全なブラウザのXNUMXつです。 それはまだの市場シェアからは程遠いですが クロム、このセクターのリーダーである真実は、Microsoftのブラウザがフォロワーを獲得しているということです。 しかし、レドモンドによって行われた改善にもかかわらず、真実はそれが欠陥なしではないということです。 現在、最新のものは、私たちのプライバシーとセキュリティを危険にさらすセキュリティ問題を発見しました。
すべてが先週とはかけ離れています。 Microsoftは24日、Edgeブラウザーの新しい更新プログラムをリリースすることを決定しました。これには、XNUMXつのセキュリティ問題の修正が含まれています。 そのうちのXNUMXつは、任意のWebサイトに任意のコードを挿入して実行するために悪用される可能性のあるセキュリティバイパスの脆弱性に関するものです。 このバグは次のように記録されました CVE-2021-34506 それに伴い、ユニバーサルクロスサイトスクリプティング(UXSS)の問題が発生します。 このスクリプトは、ブラウザーからMicrosoftTranslatorアプリケーションを使用するとアクティブになります。
ユニバーサルクロスサイト(UXSS)の新しいローカライズされたバグ
この新しい脆弱性の発見の背後には、CyberXplore PrivateLimitedに所属する研究者IgnacioIgnacio Laurence、Vansh Devgan、Shivam KumarSinghがいます。 この発見は、 ユニバーサルクロスサイトスクリプティング(UXSS)の脆弱性 。 これは、攻撃者が悪意のあるWebサイト「Y」を閲覧しているときに、攻撃者を使用してWebサイト「X」からプライベートブラウザデータにアクセスすることを意味します。 これらの研究者によると、このUXSS攻撃は、一般的なXSS攻撃で発生するのとは異なり、悪意のあるコードを実行するためにブラウザー拡張機能のユーザーの脆弱性を悪用します。 その後、この脆弱性が悪用されるとブラウザが影響を受け、セキュリティ機能が無効になります。
具体的には、研究者は違反される可能性のあるコードの断片を発見しました 翻訳機能内 MicrosoftTranslatorページのこの事実により、ハッカーや悪意のあるユーザーはWebページ内に悪意のあるJavaScriptコードを挿入できるため、ユーザーはMicrosoftTranslatorのアドレスバーにあるメッセージをクリックして無意識のうちにそれを実行することになります。
前述の研究者は、他の脆弱性も示しました。 一方では、コメントを追加するだけで攻撃を実行することが可能です。 YouTube ビデオまたはから友達リクエストを行うことによって Facebook プロフィール。 どちらの場合も、英語以外の言語のコンテンツが含まれていたため、XSS拡張機能が読み込まれ、コードがすぐに実行されました。
問題を修正するためにEdgeを更新する
幸いなことに、 この問題はすでに修正されています マイクロソフトによる最新の利用可能なアップデートで、どのバージョンが 91.0.864.59. そのため、いつも言っているように、アプリケーションを最新の状態に保ち、この場合はブラウザを最新バージョンに保つことを強くお勧めします。これにより、これまでに説明したようなエラーや脆弱性が常に修正されます。
Microsoft Edgeを最新バージョンに更新するには、ブラウザーを開いて右上のXNUMXつのポイントをクリックする必要があります。 ここでクリックします 「構成」セクション 。 これにより新しいウィンドウが開き、左側の列でをクリックします 「MicrosoftEdgeについて」 。 右側には、入手可能な最新バージョンが表示されています。ダウンロードできる場合は、それを実行できます。