El código de prueba de concepto para una ejecución remota de código a través de Microsoft Edge se publica en línea
1 minuto. leer
Publicado el
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
Se ha publicado en línea un nuevo código de prueba de concepto de una ejecución remota de código. El POC demuestra un error de corrupción de memoria en el navegador web Edge de Microsoft. El código fue publicado hoy por un investigador que descubrió el error hace un tiempo.
El error que ahora ha sido corregido por Microsoft afecta a Chakra, que es el motor de JavaScript que impulsa a Edge. El error permitiría a un atacante ejecutar en la máquina código arbitrario con los mismos privilegios que el usuario registrado. El código de prueba de concepto tiene 71 líneas y da como resultado una fuga de lectura de memoria fuera de los límites (OOB), pero se puede rediseñar para obtener resultados más dañinos.
Publiqué el PoC para CVE-2018-8629: un error JIT en Chakra corregido en las últimas actualizaciones de seguridad. Resultó en un R/W relativo (casi) ilimitado https://t.co/47TIYtVB8f
—Bruno (@bkth_) 27 de diciembre de 2018
Microsoft ha abordado este problema en el parche de diciembre y se recomienda encarecidamente que los usuarios instalen las últimas actualizaciones acumulativas para asegurarse de que están a salvo de los ataques.
Vía: Bleeping Computer