研究人員揭露Edge零時差漏洞

一名安全研究人員Yushi Liang上周透過Twitter展示了Microsoft Edge瀏覽器上的零時差漏洞，成功開採該漏洞的駭客將可執行任意程式，甚至可能進一步掌控使用者的系統。

Liang在Twitter上以一張照片展示如何透過該漏洞執行Windows上的計算機程式，另一影片則描述了他利用Edge瀏覽器的漏洞執行Firefox並載入了Google Chrome的下載頁面。

Liang與另一名研究人員Alexander Kochkov正在打造一概念性攻擊驗證程式，以突破Edge瀏覽器的沙箱保護，Liang撰寫了430行的原型程式，而Kochkov則將它縮短為80行。

根據BleepingComputer的報導，Liang計畫開發一個穩定的攻擊程式來執行沙箱逃逸，同時也在尋找能將執行權限擴大至SYSTEM等級的方法，代表有機會完全掌控受害電腦。

Liang尚未將他的發現提供給微軟，不過，就算微軟知道了，應該也來不及在下周二（11/13）的Patch Tuesday每月例行性更新中修補。