Код підтвердження концепції для віддаленого виконання коду через Microsoft Edge публікується в Інтернеті
1 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
В Інтернеті опубліковано новий код підтвердження концепції віддаленого виконання коду. POC демонструє помилку пошкодження пам’яті у веб-браузері Microsoft Edge. Код був опублікований сьогодні дослідником, який виявив помилку деякий час тому.
Помилка, яку зараз виправили Microsoft, впливає на Chakra, яка є двигуном JavaScript, що працює на Edge. Помилка дозволить зловмиснику запускати на машині довільний код з тими ж привілеями, що й у зареєстрованого користувача. Код підтвердження концепції має 71 рядок і призводить до витоку зчитування пам’яті поза межами (OOB), але його можна переробити для більш шкідливих наслідків.
Я опублікував PoC для CVE-2018-8629: помилку JIT у Chakra, виправлену в останніх оновленнях безпеки. Це призвело до (майже) необмеженого відносного R/W https://t.co/47TIYtVB8f
— Бруно (@bkth_) 27 Грудня, 2018
Корпорація Майкрософт вирішила цю проблему в грудневому виправленні, і настійно рекомендуємо користувачам встановлювати останні сукупні оновлення, щоб переконатися, що вони захищені від атак.
Вулиця: Комп'ютерний комп'ютер