Kod Proof of Concept do zdalnego wykonania kodu za pośrednictwem Microsoft Edge zostaje opublikowany w Internecie
1 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Nowy kod Proof of Concept dotyczący zdalnego wykonania kodu został opublikowany online. POC demonstruje błąd powodujący uszkodzenie pamięci w przeglądarce Microsoft Edge. Kod został opublikowany dzisiaj przez badacza, który jakiś czas temu odkrył błąd.
Błąd, który został naprawiony przez Microsoft, dotyczy Chakra, czyli silnika JavaScript napędzającego Edge. Błąd umożliwiłby atakującemu uruchomienie na maszynie dowolnego kodu z takimi samymi uprawnieniami jak zalogowany użytkownik. Kod sprawdzający koncepcję ma 71 wierszy i powoduje wyciek odczytu pamięci poza zakresem (OOB), ale można go przeprojektować w celu uzyskania bardziej szkodliwych wyników.
Opublikowałem PoC dla CVE-2018-8629: błąd JIT w Chakra naprawiony w najnowszych aktualizacjach bezpieczeństwa. Skutkowało to (prawie) nieograniczonym względnym R/W https://t.co/47TIYtVB8f
— Bruno (@bkth_) 27 grudnia 2018 r.
Firma Microsoft rozwiązała ten problem w grudniowej łatce i zdecydowanie zaleca się użytkownikom zainstalowanie najnowszych aktualizacji zbiorczych, aby upewnić się, że są bezpieczni przed atakami.
Via: Komputer spłukujący