可讓Microsoft Edge Web瀏覽器實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的概念證明代碼已在線發(fā)布,該漏洞來源于Edge的訪問內(nèi)存出錯(cuò),代碼今天由一位研究人員發(fā)布,該錯(cuò)誤會(huì)影響Chakra,它是支持Edge的Java引擎。漏洞將允許攻擊者使用與登錄用戶相同的權(quán)限在計(jì)算機(jī)上運(yùn)行任意代碼。
概念驗(yàn)證代碼有71行,導(dǎo)致越界(OOB)內(nèi)存讀取泄漏,但代碼可僅需要簡(jiǎn)單的重新設(shè)計(jì)就可以獲得更有害的結(jié)果。
微軟在12月的補(bǔ)丁中解決了這個(gè)問題,強(qiáng)烈建議用戶安裝最新的累積更新,以確保瀏覽器和系統(tǒng)免受攻擊。
了解更多:
https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js