Már elérhető a Microsoft Edge távoli kódvégrehajtási hiba bizonyítása

2 perc olvas

Publikálva Október 12, 2018

közzétették Október 12, 2018

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol.

A Microsoft a Microsoft Edge hibáinak hosszú listáját orvosolta az e havi javítási keddi frissítéssel. A hibák között szerepelt a Microsoft Edge Remote Code Execution Bug, amelyet még júliusban fedeztek fel, és a Microsoftnak jelentették A Trend Micro Zero Day Initiative programja.

A sérülékenységet Abdulrahman Al-Qabandi biztonsági kutató fedezte fel, aki a Microsoft Edge 'mailto' URI-sémájára adott válaszból kezdte a vizsgálatot, amikor észrevette, hogy az Outlook az adott forgatókönyvhöz testreszabott paraméterrel indul el. A további vizsgálat során felfedezett egy hibát, amely lehetővé tette a távoli támadók számára, hogy tetszőleges kódot hajtsanak végre a Microsoft Edge sebezhető telepítésein.

Számos probléma van azzal kapcsolatban, ahogyan a termék bizonyos sémákon belül kezeli az URI-kat. A termék nem figyelmezteti a felhasználót, hogy veszélyes navigációra kerül sor. A támadók úgy manipulálhatják a felhasználói felületet, hogy a felhasználó műveletét a veszélyes fájl megnyitásának engedélyezéseként értelmezzék. Mivel az URI speciális karakterei nincsenek megtisztítva, ez tetszőleges parancsok végrehajtásához vezethet. A támadó ezt a biztonsági rést kihasználva kódot futtathat az aktuális felhasználó környezetében, közepes integritás mellett.

– A Trend Micro Zero Day kezdeményezése

Abdulrahman Al-Qabandi egy videót is megosztott a hiba fogalmának bizonyítékaként. Az alábbiakban megnézheti a játékban lévő hibát bemutató videót.