示意圖,與新聞事件無關。

一名安全研究人員Yushi Liang上周透過Twitter展示了Microsoft Edge瀏覽器上的零時差漏洞,成功開採該漏洞的駭客將可執行任意程式,甚至可能進一步掌控使用者的系統。

Liang在Twitter上以一張照片展示如何透過該漏洞執行Windows上的計算機程式,另一影片則描述了他利用Edge瀏覽器的漏洞執行Firefox並載入了Google Chrome的下載頁面。

Liang與另一名研究人員Alexander Kochkov正在打造一概念性攻擊驗證程式,以突破Edge瀏覽器的沙箱保護,Liang撰寫了430行的原型程式,而Kochkov則將它縮短為80行。

根據BleepingComputer的報導,Liang計畫開發一個穩定的攻擊程式來執行沙箱逃逸,同時也在尋找能將執行權限擴大至SYSTEM等級的方法,代表有機會完全掌控受害電腦。

Liang尚未將他的發現提供給微軟,不過,就算微軟知道了,應該也來不及在下周二(11/13)的Patch Tuesday每月例行性更新中修補。


Advertisement

更多 iThome相關內容