示意圖,與新聞事件無關。

來自科威特的安全研究人員Abdulrahman Al-Qabandi在本周釋出了鎖定Microsoft Edge安全漏洞的概念性驗證攻擊程式,此一程式攻擊了微軟甫於本周二(10/9)修補的CVE-2018-8495漏洞,而該漏洞也是由Al-Qabandi所發現。

CVE-2018-8495被微軟列為Windows Shell的遠端程式執行漏洞,當Windows Shell不當處理統一資源識別元(Uniform Resource Identifier,URIs)時就會觸發該漏洞,允許駭客取得與使用者同樣的權限,假設使用者是以管理員身分登入,駭客則能掌控被駭系統。

駭客只要架設一個可攻陷該漏洞的惡意網站,並誘導Microsoft Edge用戶造訪,說服用戶與之互動,就能執行任意程式。

Al-Qabandi選在微軟修補了該漏洞之後才公布概念性驗證攻擊程式,該程式由HTML及JavaScript組成,意謂著任何網站只要嵌入該程式即可開採CVE-2018-8495漏洞,幸好此一程式只是為了展示,僅啟動了Windows的計算機程式,不過仍能被駭客變更,用來下載及安裝惡意程式。


Advertisement

更多 iThome相關內容