通過 Microsoft Edge 執行遠程代碼的概念驗證代碼在線發布

遠程代碼執行的新概念驗證代碼已在線發布。 POC 演示了 Microsoft 的 Edge 網絡瀏覽器中的內存損壞錯誤。 該代碼是由一位不久前發現該錯誤的研究人員今天發布的。

微軟現已修復的錯誤會影響為 Edge 提供支持的 JavaScript 引擎 Chakra。 該漏洞將允許攻擊者以與登錄用戶相同的權限在機器上運行任意代碼。 概念驗證代碼有 71 行，會導致越界 (OOB) 內存讀取洩漏，但可以對其進行重新設計以產生更有害的結果。

我發布了 CVE-2018-8629 的 PoC：Chakra 中的一個 JIT 錯誤已在最新的安全更新中修復。 它導致了（幾乎）無界的相對 R/W https://t.co/47TIYtVB8f

— 布魯諾 (@bkth_) 2018 年 12 月 27 日

Microsoft 已在 XNUMX 月的補丁中解決了這個問題，強烈建議用戶安裝最新的累積更新，以確保他們免受攻擊。

街道： 計算機