可讓Microsoft Edge Web瀏覽器實現遠程代碼執行的概念證明代碼已在線發布,該漏洞來源於Edge的訪問記憶體出錯,代碼今天由一位研究人員發布,該錯誤會影響Chakra,它是支持Edge的JavaScript引擎。漏洞將允許攻擊者使用與登錄用戶相同的權限在電腦上運行任意代碼。
概念驗證代碼有71行,導致越界(OOB)記憶體讀取泄漏,但代碼可僅需要簡單的重新設計就可以獲得更有害的結果。
微軟在12月的補丁中解決了這個問題,強烈建議用戶安裝最新的累積更新,以確保瀏覽器和系統免受攻擊。
https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js
香港九龍灣馬來街興發大廈15樓D室