A Microsoft Edge-en keresztüli távoli kódfuttatás koncepciójának bizonyító kódja megjelenik az interneten
1 perc olvas
Publikálva
Ossza meg ezt a cikket
Javítsa ezt az útmutatót
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Megjelent az interneten a távoli kódvégrehajtás új Proof of Concept kódja. A POC memóriasérülési hibát mutat be a Microsoft Edge webböngészőjében. A kódot ma tette közzé egy kutató, aki egy ideje felfedezte a hibát.
A Microsoft által most kijavított hiba a Chakrát érinti, amely az Edge-t működtető JavaScript-motor. A hiba lehetővé teszi, hogy a támadó tetszőleges kódot futtasson a gépen a bejelentkezett felhasználóval azonos jogosultságokkal. A proof-of-concept kód 71 sorból áll, és határokon kívüli (OOB) memóriaolvasási szivárgást eredményez, de újratervezhető a károsabb következmények érdekében.
Közzétettem a CVE-2018-8629 PoC-t: a Chakra JIT-hibája a legújabb biztonsági frissítésekben javítva. Ez egy (majdnem) korlátlan relatív R/W-t eredményezett https://t.co/47TIYtVB8f
– Bruno (@bkth_) December 27, 2018
A Microsoft a decemberi javításban orvosolta ezt a problémát, és erősen ajánlott a felhasználóknak a legújabb összesített frissítések telepítése, hogy megbizonyosodjanak a támadásoktól.
Keresztül: Bleeping Computer
