快讯 | 微软 Edge 浏览器爆高危漏洞,受控电脑可执行任意命令
AngelaY
- 关注
快讯 | 微软 Edge 浏览器爆高危漏洞,受控电脑可执行任意命令
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
10月12日,有安全研究人员发布了Windows Shell REC( CVE-2018-8495))漏洞概念验证代码,受影响软件为Windows 10内置的Microsoft Edge,攻击者可以使用该代码通过Microsoft Edge浏览器在远程计算机上运行恶意代码。
据了解,漏洞是由于Windows Shell处理URI时,未过滤特殊的URI,如拉起脚本的Windows Script Host的URI为wshfile,导致的RCE。
当构造包含特殊URI的网页时,诱导用户打开点击,会弹出下面这个窗口,此时默认焦点位于ok按钮上,只有用户再按一次enter键,就会拉起脚本执行任意命令。
该漏洞于10月9日曝光,级别属于“高危”。目前,微软已经发布修复补丁。用户可以点击此处尽快修复。
*本文转载自 cnBeta,转载请注明来源。
本文为 AngelaY 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
BUF早餐铺 | 手机APP应用权限规范发布;中国遭受的网络攻击主要来自美国;微软删除世界最大公开人脸识别数据库;国泰航空曾遭遇两次入侵
2019-06-12
BUF早餐铺 | 苹果限制儿童类别的广告和跟踪;Firefox 默认启用跟踪保护;黑客可劫持远程桌面会话,绕过Windows锁屏
2019-06-06
BUF早餐铺 | Office 365出现网络钓鱼;GDPR实施一周年,开出5600万欧元罚单;Flipboard公告称内部系统遭黑客攻击
2019-05-30