摘要: 研究人员展示利用Edge的漏洞执行其他应用程式,并且准备打造一概念性攻击验证程式,以突破沙箱的保护,进而掌控使用者的电脑。一名安全研究人员Yushi Liang上周透过Twitter 展示了Microsoft Edge浏览器上的零时差漏洞,成功开采该漏洞的...
研究人员展示利用Edge的漏洞执行其他应用程式,并且准备打造一概念性攻击验证程式,以突破沙箱的保护,进而掌控使用者的电脑。
一名安全研究人员Yushi Liang上周透过Twitter 展示了Microsoft Edge浏览器上的零时差漏洞,成功开采该漏洞的骇客将可执行任意程式,甚至可能进一步掌控使用者的系统。
Liang在Twitter上以一张照片展示如何透过该漏洞执行Windows上的计算机程式,另一影片则描述了他利用Edge浏览器的漏洞执行Firefox并载入了Google Chrome的下载页面。
Liang与另一名研究人员Alexander Kochkov正在打造一概念性攻击验证程式,以突破Edge浏览器的沙箱保护,Liang撰写了430行的原型程式,而Kochkov则将它缩短为80行。
根据BleepingComputer的报导,Liang计画开发一个稳定的攻击程式来执行沙箱逃逸,同时也在寻找能将执行权限扩大至SYSTEM等级的方法,代表有机会完全掌控受害电脑。
Liang尚未将他的发现提供给微软,不过,就算微软知道了,应该也来不及在下周二(11/13)的Patch Tuesday每月例行性更新中修补。
END
本文转载于ithome.com.tw
