Código de prova de conceito para execução remota de código via Microsoft Edge é publicado online
1 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Um novo código de Prova de Conceito de Execução Remota de Código foi publicado online. O POC demonstra um bug de corrupção de memória no navegador da Web Edge da Microsoft. O código foi publicado hoje por um pesquisador que descobriu o bug há algum tempo.
O bug que agora foi corrigido pela Microsoft afeta o Chakra, que é o mecanismo JavaScript que alimenta o Edge. O bug permitiria que um invasor executasse código arbitrário na máquina com os mesmos privilégios que o usuário logado. O código de prova de conceito tem 71 linhas e resulta em um vazamento de leitura de memória fora dos limites (OOB), mas pode ser reprojetado para resultados mais prejudiciais.
Publiquei o PoC para CVE-2018-8629: um bug JIT no Chakra corrigido nas últimas atualizações de segurança. Isso resultou em um R/W relativo (quase) ilimitado https://t.co/47TIYtVB8f
-Bruno (@bkth_) 27 de dezembro de 2018
A Microsoft abordou esse problema no patch de dezembro e é altamente recomendável que os usuários instalem as atualizações cumulativas mais recentes para garantir que estejam protegidos contra ataques.
via: Computador bleeping