Már elérhető a Microsoft Edge távoli kódvégrehajtási hiba bizonyítása
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
![](https://mspoweruser.com/wp-content/uploads/2018/04/31131317_1787120158017369_2625829703537131520_n.jpg)
A Microsoft a Microsoft Edge hibáinak hosszú listáját orvosolta az e havi javítási keddi frissítéssel. A hibák között szerepelt a Microsoft Edge Remote Code Execution Bug, amelyet még júliusban fedeztek fel, és a Microsoftnak jelentették A Trend Micro Zero Day Initiative programja.
A sérülékenységet Abdulrahman Al-Qabandi biztonsági kutató fedezte fel, aki a Microsoft Edge 'mailto' URI-sémájára adott válaszból kezdte a vizsgálatot, amikor észrevette, hogy az Outlook az adott forgatókönyvhöz testreszabott paraméterrel indul el. A további vizsgálat során felfedezett egy hibát, amely lehetővé tette a távoli támadók számára, hogy tetszőleges kódot hajtsanak végre a Microsoft Edge sebezhető telepítésein.
Számos probléma van azzal kapcsolatban, ahogyan a termék bizonyos sémákon belül kezeli az URI-kat. A termék nem figyelmezteti a felhasználót, hogy veszélyes navigációra kerül sor. A támadók úgy manipulálhatják a felhasználói felületet, hogy a felhasználó műveletét a veszélyes fájl megnyitásának engedélyezéseként értelmezzék. Mivel az URI speciális karakterei nincsenek megtisztítva, ez tetszőleges parancsok végrehajtásához vezethet. A támadó ezt a biztonsági rést kihasználva kódot futtathat az aktuális felhasználó környezetében, közepes integritás mellett.
– A Trend Micro Zero Day kezdeményezése
Abdulrahman Al-Qabandi egy videót is megosztott a hiba fogalmának bizonyítékaként. Az alábbiakban megnézheti a játékban lévő hibát bemutató videót.
Keresztül: Bleeping Computer