È ora disponibile la Proof of Concept del bug di esecuzione di codice remoto di Microsoft Edge
2 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Microsoft ha risolto un lungo elenco di bug su Microsoft Edge con l'aggiornamento di Patch Tuesday di questo mese. Tra i bug c'era Microsoft Edge Remote Code Execution Bug che è stato scoperto a luglio ed è stato segnalato a Microsoft tramite Programma Zero Day Initiative di Trend Micro.
La vulnerabilità è stata scoperta dal ricercatore di sicurezza Abdulrahman Al-Qabandi che ha iniziato le sue indagini dalla risposta allo schema URI "mailto" in Microsoft Edge quando ha notato che Outlook si avviava con un parametro personalizzato per lo scenario in questione. Dopo ulteriori indagini, ha scoperto un bug che consentiva agli aggressori remoti di eseguire codice arbitrario su installazioni vulnerabili di Microsoft Edge.
Esistono diversi problemi con il modo in cui il prodotto gestisce gli URI all'interno di determinati schemi. Il prodotto non avverte l'utente che sta per aver luogo una navigazione pericolosa. Un utente malintenzionato può manipolare l'interfaccia utente in modo che l'azione dell'utente venga interpretata come autorizzazione a procedere con l'apertura di un file pericoloso. Poiché i caratteri speciali nell'URI non vengono disinfettati, ciò potrebbe portare all'esecuzione di comandi arbitrari. Un utente malintenzionato può sfruttare questa vulnerabilità per eseguire codice nel contesto dell'utente corrente con integrità media.
– Iniziativa Zero Day di Trend Micro
Abdulrahman Al-Qabandi ha anche condiviso un video come prova del concetto del bug. Puoi controllare il video che mostra il bug in gioco di seguito.
Via: Bleeping Computer
