קוד הוכחת קונספט עבור ביצוע קוד מרחוק באמצעות Microsoft Edge מתפרסם באינטרנט
1 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קרא עוד
קוד הוכחת מושג חדש של ביצוע קוד מרחוק פורסם באינטרנט. ה-POC מדגים באג של שחיתות זיכרון בדפדפן האינטרנט Edge של מיקרוסופט. הקוד פורסם היום על ידי חוקר שגילה את הבאג לפני זמן מה.
הבאג שתוקן כעת על ידי מיקרוסופט משפיע על צ'אקרה שהיא מנוע ה-JavaScript המניע את Edge. הבאג יאפשר לתוקף לרוץ על המחשב קוד שרירותי עם אותן הרשאות כמו המשתמש שנרשם. לקוד הוכחת הרעיון יש 71 שורות ומביא לדליפת קריאה של זיכרון מחוץ לתחום (OOB), אך ניתן להנדס אותו מחדש לתוצאות מזיקות יותר.
פרסמתי את ה-PoC עבור CVE-2018-8629: באג JIT בצ'אקרה תוקן בעדכוני האבטחה האחרונים. זה הביא ל-R/W יחסי (כמעט) בלתי מוגבל https://t.co/47TIYtVB8f
- ברונו (@bkth_) דצמבר 27, 2018
מיקרוסופט טיפלה בבעיה זו בתיקון של דצמבר ומומלץ מאוד למשתמשים להתקין את העדכונים המצטברים האחרונים כדי לוודא שהם בטוחים מפני התקפות.
ויה: מחשב
