1. 程式人生 > >研究人員在Microsoft Edge中釋出了遠端漏洞的POC

研究人員在Microsoft Edge中釋出了遠端漏洞的POC

支援Microsoft Edge Web瀏覽器遠端程式碼執行(CVE-2018-8629)的概念驗證程式碼已線上釋出。該漏洞源於Edge的訪問記憶體錯誤。該漏洞允許攻擊者在具有與登入使用者相同許可權的計算機上執行任意程式碼。

“Chakra指令碼引擎處理Microsoft Edge記憶體中物件的方式中存在一個遠端執行程式碼漏洞。該漏洞可能以一種攻擊者可以在當前使用者的上下文中執行任意程式碼的方式來破壞記憶體。成功利用此漏洞的攻擊者可以獲得與當前使用者相同的使用者許可權。如果當前使用者使用管理使用者許可權登入,則成功利用此漏洞的攻擊者可以控制受影響的系統。然後攻擊者可以安裝程式;檢視,更改或刪除資料;或者建立具有完全使用者許可權的新帳戶,“微軟在本月的

諮詢報告中指出。

I published the PoC for CVE-2018-8629: a JIT bug in Chakra fixed in the latest security updates. It resulted in an (almost) unbounded relative R/W https://t.co/47TIYtVB8f

— Bruno @ C3 (@bkth_) December 27, 2018

概念驗證程式碼有71行,導致越界(OOB)記憶體讀取洩漏,但程式碼可以通過簡單的重新設計實現更有害的結果。

Microsoft在12月補丁週二解決了這個問題,並強烈建議使用者安裝最新的累積更新,以確保瀏覽器和系統免受攻擊。