研究人員釋出Microsoft Edge漏洞的概念性驗證攻擊程式

來自科威特的安全研究人員Abdulrahman Al-Qabandi在本周釋出了鎖定Microsoft Edge安全漏洞的概念性驗證攻擊程式，此一程式攻擊了微軟甫於本周二（10/9）修補的CVE-2018-8495漏洞，而該漏洞也是由Al-Qabandi所發現。

CVE-2018-8495被微軟列為Windows Shell的遠端程式執行漏洞，當Windows Shell不當處理統一資源識別元（Uniform Resource Identifier，URIs）時就會觸發該漏洞，允許駭客取得與使用者同樣的權限，假設使用者是以管理員身分登入，駭客則能掌控被駭系統。

駭客只要架設一個可攻陷該漏洞的惡意網站，並誘導Microsoft Edge用戶造訪，說服用戶與之互動，就能執行任意程式。

Al-Qabandi選在微軟修補了該漏洞之後才公布概念性驗證攻擊程式，該程式由HTML及JavaScript組成，意謂著任何網站只要嵌入該程式即可開採CVE-2018-8495漏洞，幸好此一程式只是為了展示，僅啟動了Windows的計算機程式，不過仍能被駭客變更，用來下載及安裝惡意程式。