今天小凯seo博客转载一篇来自百度安全指数官网发布的标题为:最新微软Edge浏览器远程命令执行PoC被公开(CVE-2018-8629)的内容,发布时间是2018年12月29日,正文部分如下:
事件描述
近期,国外安全人员发布了一个微软Edge浏览器内存破坏漏洞的PoC。当这个PoC作用于未打补丁的机器时,可导致远程命令执行。
这个漏洞主要影响基于ja vasc ript引擎Chakra的微软Edge浏览器,攻击者利用该漏洞能可以拥有已登录用户相同的权限,并在机器上运行任意代码。
PoC链接:https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js 代码一共只有71行,主要会造成越界(OOB)读取内存,PoC的运行效果不会有太大的危害性,但攻击者可以通过修改PoC去实现侵略性行为。
PoC内容如下:
缓解措施
该漏洞已经在微软12月安全补丁中被修复,修复补丁链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8629 。