freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

快讯 | 微软 Edge 浏览器爆高危漏洞,受控电脑可执行任意命令
AngelaY 2018-10-12 22:40:06 248496

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

10月12日,有安全研究人员发布了Windows Shell REC( CVE-2018-8495))漏洞概念验证代码,受影响软件为Windows 10内置的Microsoft Edge,攻击者可以使用该代码通过Microsoft Edge浏览器在远程计算机上运行恶意代码。

据了解,漏洞是由于Windows Shell处理URI时,未过滤特殊的URI,如拉起脚本的Windows Script Host的URI为wshfile,导致的RCE。

1.jpg

2.jpg

当构造包含特殊URI的网页时,诱导用户打开点击,会弹出下面这个窗口,此时默认焦点位于ok按钮上,只有用户再按一次enter键,就会拉起脚本执行任意命令。

该漏洞于10月9日曝光,级别属于“高危”。目前,微软已经发布修复补丁。用户可以点击此处尽快修复。

*本文转载自 cnBeta,转载请注明来源。

# 漏洞 # Edge
本文为 AngelaY 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
AngelaY LV.9
LIE TO ME
  • 193 文章数
  • 24 关注者
BUF早餐铺 | 手机APP应用权限规范发布;中国遭受的网络攻击主要来自美国;微软删除世界最大公开人脸识别数据库;国泰航空曾遭遇两次入侵
2019-06-12
BUF早餐铺 | 苹果限制儿童类别的广告和跟踪;Firefox 默认启用跟踪保护;黑客可劫持远程桌面会话,绕过Windows锁屏
2019-06-06
BUF早餐铺 | Office 365出现网络钓鱼;GDPR实施一周年,开出5600万欧元罚单;Flipboard公告称内部系统遭黑客攻击
2019-05-30