当前位置:首页 > seo技术分享 > 正文

最新微软Edge浏览器远程命令执行PoC被公开(CVE-2018-8629)

今天小凯seo博客转载一篇来自百度安全指数官网发布的标题为:最新微软Edge浏览器远程命令执行PoC被公开(CVE-2018-8629)的内容,发布时间是2018年12月29日,正文部分如下:

微软Edge浏览器远程命令执行PoC被公开

事件描述

近期,国外安全人员发布了一个微软Edge浏览器内存破坏漏洞的PoC。当这个PoC作用于未打补丁的机器时,可导致远程命令执行。

这个漏洞主要影响基于ja vasc ript引擎Chakra的微软Edge浏览器,攻击者利用该漏洞能可以拥有已登录用户相同的权限,并在机器上运行任意代码。

PoC链接:https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js 代码一共只有71行,主要会造成越界(OOB)读取内存,PoC的运行效果不会有太大的危害性,但攻击者可以通过修改PoC去实现侵略性行为。

PoC内容如下:

PoC内容

缓解措施

该漏洞已经在微软12月安全补丁中被修复,修复补丁链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8629 。

评论已关闭!