Lỗ hổng CVE-2021-34506 được đánh giá mức độ nghiêm trọng (CVSS 5,4). Lỗ hổng bảo mật này có thể được tin tặc lợi dụng để chèn và thực thi mã Javascript độc hại khi người dùng sử dụng tính năng dịch trang tự động Microsoft Translator được tích hợp trên trình duyệt.
CVE-2021-34506 được phát hiện và báo cáo bởi một nhóm các nhà nghiên cứu của CyberXlore Private Limited. Trong bài viết đăng trên trang Thehackernews, nhóm nghiên cứu này cho biết: “Không giống như các cuộc tấn công Cross-Site script (XSS) thông thường, Universal cross site script (UXSS) là một kiểu tấn công khai thác các lỗ hổng bên trong trình duyệt hoặc các tiện ích mở rộng của trình duyệt nhằm tạo ra một điều kiện XSS và thực thi mã độc. Khi các lỗ hổng như vậy được tìm thấy và khai thác thì trình duyệt sẽ bị ảnh hưởng và các tính năng bảo mật của nó có thể bị bỏ qua hoặc vô hiệu hóa”.
Cụ thể, các nhà nghiên cứu đã phát hiện tính năng dịch của tiện ích mở rộng Microsoft Translator tồn tại một đoạn mã mà thông qua đó những kẻ tấn công có khả năng chèn mã JavaScript độc hại vào một vị trí bất kỳ trên trang web. Sau đó, mã độc sẽ được kích hoạt khi người dùng nhấp vào lời nhắc dịch trang xuất hiện trên thanh địa chỉ.
Ngày 24/6, sau 3 tuần kể từ khi nhận được báo cáo, Microsoft đã khắc phục sự cố và thưởng 20.000 USD cho các chuyên gia bảo mật CyberXplore.
Hiện nay, người dùng có thể tải xuống bản cập nhật mới nhất (Phiên bản 91.0.864.59) cho trình duyệt trên Chromium bằng cách truy cập Setting and more/ About Microsoft Edge.