引起 Edge 浏览器远程代码执行漏洞的 PoC 已发布

by admin on 2020年3月12日

此前微软的 Edge
浏览器被曝光存在一个严重的漏洞,可使得黑客通过该漏洞获取用户的电脑权限,进而掌控系统。漏洞的编号被标记为
CVE-2018-8629,微软也在漏洞曝光不久后发布了紧急修复补丁。

据外媒报道,黑客Bruno在社交软件上发布了关于微软Edge浏览器的远程执行漏洞的利用代码。该利用代码所指向的是微软Edge浏览器在用户的电脑权限获取的漏洞,漏洞编号为
CVE-2018-8629。

微软12号发布的例行安全更新修复了正在被利用的一个
IE 0day 漏洞和一个漏洞利用概念验证代码已公布的 Exchange Server 漏洞。

按照微软的说法,当 Edge 浏览器所使用的 JavaScript 引擎 Chakra
不能正确处理内存中的对象即会触发该问题,导致计算机出现远程代码执行漏洞,黑客可架设一个恶意网站或是渗透正当网站再诱导
Edge
用户进行访问,用户“中招”后,黑可即可取得使用者权限,进而掌控被黑的系统。

据外媒报道,黑客Bruno在社交软件上发布了关于微软Edge浏览器的远程执行漏洞的利用代码。

图片 1

现在,软件开发商 Phoenix Technologies 的研究人员 Bruno Keith 公布了导致
Microsoft Edge
漏洞的攻击程序演示代码,概念验证代码有 71
行,会导致 out-of-bounds (OOB) 内存泄漏,虽然不会造成有害的影响,但攻击者可以修改演示漏洞代码以获得更有害的结果。

黑客曝微软Edge浏览器严重漏洞

对于 IE
漏洞,微软称攻击者首先需要引诱用户访问一个恶意网站,该漏洞允许攻击者测试
PC 磁盘上是否储存一个或更多文件。该漏洞是 Google Project Zero
安全团队成员发现的,编号
CVE-2019-0676,影响
IE v 10 和 11,正被活跃利用。

CVE-2018-8629 漏洞影响了 Windows 10、Windows Server 2016 及 Windows
Server 2019 上的 Edge 浏览器,而且在 Windows Server 2016/2019
平台上被列为中度漏洞,而在 Windows 10
上则属于重大漏洞,在概念验证代码发布之后,呼吁还没进行修复的用户或企业应尽快部署相关的安全更新。

该利用代码所指向的是微软Edge浏览器在用户的电脑权限获取的漏洞,漏洞编号为
CVE-2018-8629。

Exchange Server 漏洞编号
CVE-2019-0686,允许攻击者利用普通权限的账号获取服务器的管理权限。微软称它没观察到该漏洞正被利用。

(文/开源中国)    

据悉,Edge浏览器所使用的JavaScript引擎叫作Chakra,当Chakr不能正确浏览器内存中时,就会触发远程代码钻入漏洞。

据官方发布日记,这次更新中微软修补了70多个漏洞,其中20个被评为严重漏洞。易受攻击的产品包括了
IE,Edge,Windows,Office,.NET Framework,Exchange Server 和 Visual
Studio等。

攻击者会提前可架设一个恶意网站诱导用户进行访问,用户中招后,远程代码拥有者即可取得电脑所有权限即系统控制权包含可以安装/卸载程序、查看更改或删除数据以及创建新帐户。

(文/开源中国)    

目前微软已经在该漏洞曝光后紧急修复,并发布推送了相关补丁,目前暂时还没有酿成重大事故。在这里建议大家及时升级更新Windows系统补丁,以防止受到该漏洞的影响。

虽然微软已经宣布,Edge浏览器会切换成Google
Chromium内核,但这并不意味着微软承认Edge已经输了,事实上微软还在不遗余力地宣传Edge,核心意思还是强调要比Chrome好得多。

微软觉得自己不错

随着Windows 10
2018年十月更新版全面推送,微软又打出了一波Edge浏览器广告,但这次比较低调,并没有在系统或者浏览器里弹出,而是放在了程序员的圣地:GitHub。

这一次,微软使用一台Surface Book笔记本,使用Edge 18、Chrome 69、Firefox
63三款浏览器播放HTML5流视频,对比电池续航时间。

根据微软给出的数据,Firefox
63只坚持了8小时16分20秒,Chrome支撑了12小时53分41秒,Edge则持续了16小时2分50秒,比两个对手分别长94%、24%。

责任编辑:焦旭

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图