研究人员释出MicrosoftEdge漏洞的概念性验证攻击程式

来自科威特的安全研究人员Abdulrahman Al-Qabandi在本周释出了锁定Microsoft Edge安全漏洞的概念性验证攻击程式，此一程式攻击了微软甫于本周二（10/9）修补的CVE-2018-8495漏洞，而该漏洞也是由Al-Qabandi所发现。

CVE-2018-8495被微软列为Windows Shell的远端程式执行漏洞，当Windows Shell不当处理统一资源识别元（Uniform Resource Identifier，URIs）时就会触发该漏洞，允许骇客取得与使用者同样的权限，假设使用者是以管理员身份登入，骇客则能掌控被骇系统。

骇客只要架设一个可攻陷该漏洞的恶意网站，并诱导Microsoft Edge用户造访，说服用户与之互动，就能执行任意程式。

Al-Qabandi选在微软修补了该漏洞之后才公布概念性验证攻击程式，该程式由HTML及JavaScript组成，意谓著任何网站只要嵌入该程式即可开采CVE-2018-8495漏洞，幸好此一程式只是为了展示，仅启动了Windows的计算机程式，不过仍能被骇客变更，用来下载及安装恶意程式。