Microsoft Edge Translator Contenía Exploit uXSS Accesible desde “Cualquier Página Web” ¡YA SOLUCIONADO!

Categorias: General, Navegadores

Microsoft Edge Translator Exploit uXSS

El Exploit había sido probado con éxito en los dominios de Google, YouTube y Facebook. Si usas Microsoft Edge y lo tienes sin actualizar, desde Hostinet te recomendamos que lo actualices cuanto antes.

¿Para Qué Sirve un Exploit?

Un Exploit sirve para aprovecharse de los errores de programación en una aplicación con el objetivo de tomar el control de un sistema o realizar una escalada de privilegios.

Exploit uXSS en Microsoft Edge Translator

Una vulnerabilidad universal en la cross-site scripting (uXSS) o lo que es lo mismo en la “Secuencias de comandos entre sitios” en la función de traducción de Microsoft Edge había dejado a los usuarios expuestos a ataques, independientemente del sitio web que visiten, según afirmaban un par de prestigiosos investigadores de seguridad en la India.

Al obtener un pago de 20.000$ de recompensa por el exploit, los investigadores insertaron JavaScript malicioso en páginas web junto con texto escrito en un idioma que no era nativo de la configuración de Edge de un usuario objetivo.

Si Microsoft Edge Translator se configuraba para traducir automáticamente o se activaba haciendo click en su mensaje correspondiente, el navegador intentaba volver a representar la página, pero no podía representar la etiqueta de imagen, lo que provoca un error y un llamamiento a una función maliciosa.

Microsoft Edge Translator Traducir Ruso

Las defensas de seguridad basadas en navegadores Chromium se omitieron con la carga útil “>img src=x onerror=alert(1)> porque la función vulnerable StartPageTranslation no pudo desinfectar la etiqueta de imagen «>img o realizar una verificación de validación que encubriría un «DOM completo en texto y luego procesarlo para traducirlo ”, se puede leer en la entrada de blog publicada por Vansh Devgan y Shivam Kumar Singh de la firma india de seguridad e información CyberXplore.

Pwned en la Traducción

El termino Pwned, significa comprometer la seguridad o tener el control de un ordenador (servidor o PC), sitio web, dispositivo de puerta de enlace, o aplicación.

Siempre que un sitio web refleje una carga útil XSS adecuada, el ataque funcionaría, independientemente de si el sitio web desinfecta adecuadamente el texto o no, insinuaron los investigadores de la firma india de seguridad e información CyberXplore.

Las aplicaciones web que hay en la Microsoft Store también eran vulnerables, ya que la compañía de Redmond envía las aplicaciones con el complemento (add-on) de traductor, algo que también se demostró en un video de prueba de concepto dirigido a Instagram:

Además, Vansh Devgan afirmó que si un investigador de seguridad estuviera usando laboratorios de capacitación con cargas útiles XSS, estos se activarían cuando Microsoft Edge tradujera la página.

Vulnerabilidad Recién Parcheada

Ahora, recién parcheada hace unos días, la vulnerabilidad uXSS ( CVE-2021–34506 ) fue clasificada como de gravedad media (CVSS 5.4) por Microsoft, a pesar de la enorme recompensa otorgada bajo su programa de recompensas por errores de Edge .

Los investigadores notificaron a Microsoft de la vulnerabilidad el 3 de junio y el gigante tecnológico emitió un parche el 24 de junio para solucionarla.

Microsoft Edge Translator Install

Si usas Microsoft Edge y lo tienes sin actualizar, desde Hostinet te recomendamos que lo actualices cuanto antes. Aunque hoy en día el uso de este navegador esta poco extendido entre los usuarios, la gran mayoría se han decantado por otros navegadores diferentes al de Microsoft, como Mozilla Firefox o sobre todo Google Chrome por pertenecer a la gran G.

HOSTING SSD CON CPANEL & CUENTAS DE CORREO ILIMITADAS

En Hostinet todos nuestros Alojamientos Web SSD vienen por defecto con un panel de control cPanel. Además, pensamos que lo mejor es siempre usar cuentas de correo personalizadas con tu propio dominio con el fin de personalizar tu negocio o de dotar de seriedad a tus comunicaciones. De hecho, por muy poco al mes puedes contratar el plan de hosting que mejor se adapte a tu proyecto web, así como también un dominio bajo el cual tener todas las cuentas de correo electrónico que quieras. ¡Nuestros servidores de última generación están ubicados en Bilbao & Madrid! Más de 15 años de experiencia en el sector nos avalan.

  • Hosting SSD 1desde3´27€ / mes
  • Hosting SSD 2desde3´85€ / mes
  • Hosting SSD 4desde5´60€ / mes
  • Hosting SSD 1desde3´27€/mes
  • Hosting SSD 2desde3´85€/mes
  • Hosting SSD 4desde5´60€/mes
    • Almacenamiento en disco dura ultra rapido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Tras evaluación de nuestro equipo de migraciones y nuevas altas de Hosting
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Todo lo que necesitas para sacar partido a tu Host
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opcion de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Opción de contratación de certificados SSL Wildcard. Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUI
    • Opción de contratación de certificados SSL Extended Validation (EV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUI
    • Opción de contratación de certificados SSL Organization Validation (OV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUI
    • Con nuestra herramienta WebFácil construye tu página web en solo 5 pasos.
    • Con la herramienta de instalación Softaculous tan solo deberás elegir la aplicación deseada y con tan solo un par de clicks y de forma totalmente automatizada tendrás tus herramientas favoritas instaladas en tu Host.
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting y Dominios
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones