热门关键词:
首页 综合资讯

研究人员释出MicrosoftEdge漏洞的概念性验证攻击程式

导读: 骇客只要架设一个可攻陷该漏洞的恶意网站,并诱导MicrosoftEdge用户造访,说服用户与之互动,就能执行任意程式。

示意图,与新闻事件无关。

来自科威特的安全研究人员Abdulrahman Al-Qabandi在本周释出了锁定Microsoft Edge安全漏洞的概念性验证攻击程式,此一程式攻击了微软甫于本周二(10/9)修补的CVE-2018-8495漏洞,而该漏洞也是由Al-Qabandi所发现。

CVE-2018-8495被微软列为Windows Shell的远端程式执行漏洞,当Windows Shell不当处理统一资源识别元(Uniform Resource Identifier,URIs)时就会触发该漏洞,允许骇客取得与使用者同样的权限,假设使用者是以管理员身份登入,骇客则能掌控被骇系统。

骇客只要架设一个可攻陷该漏洞的恶意网站,并诱导Microsoft Edge用户造访,说服用户与之互动,就能执行任意程式。

Al-Qabandi选在微软修补了该漏洞之后才公布概念性验证攻击程式,该程式由HTML及JavaScript组成,意谓著任何网站只要嵌入该程式即可开采CVE-2018-8495漏洞,幸好此一程式只是为了展示,仅启动了Windows的计算机程式,不过仍能被骇客变更,用来下载及安装恶意程式。