通过 Microsoft Edge 执行远程代码的概念验证代码在线发布
1分钟读
发表于
读者帮助支持 MSpoweruser。如果您通过我们的链接购买,我们可能会获得佣金。
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
远程代码执行的新概念验证代码已在线发布。 POC 演示了 Microsoft 的 Edge 网络浏览器中的内存损坏错误。 该代码是由一位不久前发现该错误的研究人员今天发布的。
微软现已修复的错误会影响为 Edge 提供支持的 JavaScript 引擎 Chakra。 该漏洞将允许攻击者以与登录用户相同的权限在机器上运行任意代码。 概念验证代码有 71 行,会导致越界 (OOB) 内存读取泄漏,但可以对其进行重新设计以产生更有害的结果。
我发布了 CVE-2018-8629 的 PoC:Chakra 中的一个 JIT 错误已在最新的安全更新中修复。 它导致(几乎)无界的相对 R/W https://t.co/47TIYtVB8f
— 布鲁诺 (@bkth_) 2018 年 12 月 27 日
Microsoft 已在 XNUMX 月的补丁中解决了这个问题,强烈建议用户安装最新的累积更新,以确保他们免受攻击。
通过: 计算机