微软 Edge 浏览器爆高危漏洞,受控电脑可执行任意命令

首页 / 最新资讯 / 正文

10月12日,有安全研究人员发布了Windows Shell REC( CVE-2018-8495))漏洞概念验证代码,受影响软件为Windows 10内置的Microsoft Edge,攻击者可以使用该代码通过Microsoft Edge浏览器在远程计算机上运行恶意代码。

据了解,漏洞是由于Windows Shell处理URI时,未过滤特殊的URI,如拉起脚本的Windows Script Host的URI为wshfile,导致的RCE。

当构造包含特殊URI的网页时,诱导用户打开点击,会弹出下面这个窗口,此时默认焦点位于ok按钮上,只有用户再按一次enter键,就会拉起脚本执行任意命令。

该漏洞于10月9日曝光,级别属于“高危”。目前,微软已经发布修复补丁。用户可以点击此处尽快修复。

 

 

本文转载自安全狗的微软 Edge 浏览器爆高危漏洞,受控电脑可执行任意命令

打赏
评论区
头像

友情链接: 王俊伟博客   小宜技术猫   江湖传说   Puresys纯净系统-软件下载   古博   主机豆   樱空-SakuraSky   十年之约论坛   趣记博客   标志网   9号站  
触摸云提供安全防护加速服务