Edge瀏覽器被爆高危漏洞 受控電腦可執行任意命令
摘要:
10月12日,有安全研究人員釋出了Windows Shell REC( CVE-2018-8495))漏洞概念驗證程式碼,受影響軟體為Windows 10內建的Microsoft Edge, 攻擊者可以使用該程式碼通過Microsoft Edge瀏覽器在遠端計算機上執行惡意程式碼。
據...
10月12日,有安全研究人員釋出了Windows Shell REC( CVE-2018-8495))漏洞概念驗證程式碼,受影響軟體為Windows 10內建的Microsoft Edge, 攻擊者可以使用該程式碼通過Microsoft Edge瀏覽器在遠端計算機上執行惡意程式碼。
據瞭解,漏洞是由於Windows Shell處理URI時,未過濾特殊的URI,如拉起指令碼的Windows Script Host的URI為wshfile,導致的RCE。
當構造包含特殊URI的網頁時,誘導使用者開啟點選,會彈出下面這個視窗,此時預設焦點位於ok按鈕上,只有使用者再按一次enter鍵,就會拉起指令碼執行任意命令。
該漏洞於10月9日曝光,級別屬於“高危”。慶幸的是,微軟已經發布修復補丁,請及時更新,更新地址: ofollow,noindex">點此 。
