网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


研究人员揭露Edge零日漏洞

2018-11-06 14:49 推荐: 浏览: 17 views 字号:

摘要: 研究人员展示利用Edge的漏洞执行其他应用程式,并且准备打造一概念性攻击验证程式,以突破沙箱的保护,进而掌控使用者的电脑。 一名安全研究人员Yushi Liang上周透过Twitter 展示了Microsoft Edge浏览器上的零时差漏洞,成功开采该漏洞的...

研究人员展示利用Edge的漏洞执行其他应用程式,并且准备打造一概念性攻击验证程式,以突破沙箱的保护,进而掌控使用者的电脑。

一名安全研究人员Yushi Liang上周透过Twitter 展示了Microsoft Edge浏览器上的零时差漏洞,成功开采该漏洞的骇客将可执行任意程式,甚至可能进一步掌控使用者的系统。

Liang在Twitter上以一张照片展示如何透过该漏洞执行Windows上的计算机程式,另一影片则描述了他利用Edge浏览器的漏洞执行Firefox并载入了Google Chrome的下载页面。

Liang与另一名研究人员Alexander Kochkov正在打造一概念性攻击验证程式,以突破Edge浏览器的沙箱保护,Liang撰写了430行的原型程式,而Kochkov则将它缩短为80行。

根据BleepingComputer的报导,Liang计画开发一个稳定的攻击程式来执行沙箱逃逸,同时也在寻找能将执行权限扩大至SYSTEM等级的方法,代表有机会完全掌控受害电脑。

Liang尚未将他的发现提供给微软,不过,就算微软知道了,应该也来不及在下周二(11/13)的Patch Tuesday每月例行性更新中修补。

END

本文转载于ithome.com.tw

联系站长租广告位!

中国首席信息安全官


关闭


关闭