Proof of Concept-kode for en fjernudførelse af kode via Microsoft Edge bliver offentliggjort online
1 min. Læs
Udgivet den
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
En ny Proof of Concept-kode for en fjernudførelse af kode er blevet offentliggjort online. POC demonstrerer en fejl i hukommelseskorruption i Microsofts Edge-webbrowser. Koden blev offentliggjort i dag af en forsker, der opdagede fejlen for et stykke tid tilbage.
Fejlen, som nu er blevet rettet af Microsoft, påvirker Chakra, som er JavaScript-motoren, der driver Edge. Fejlen ville tillade en angriber at køre på maskinen vilkårlig kode med de samme privilegier som den loggede bruger. Bevis-of-concept-koden har 71 linjer og resulterer i en out-of-bounds (OOB) hukommelseslæselækage, men den kan omkonstrueres til mere skadelige resultater.
Jeg udgav PoC for CVE-2018-8629: en JIT-fejl i Chakra rettet i de seneste sikkerhedsopdateringer. Det resulterede i en (næsten) ubegrænset relativ R/W https://t.co/47TIYtVB8f
— Bruno (@bkth_) 27. December, 2018
Microsoft har behandlet dette problem i december-patchen, og det anbefales stærkt, at brugere installerer de seneste kumulative opdateringer for at sikre, at de er sikre mod angreb.
via: Bleeping Computer