Tin An Ninh Mạng

Xuất hiện PoC cho lỗi thực thi mã từ xa trong Microsoft Edge

hacker 16
Nhà phát triển mã khai thác Yushi Liang công bố rằng ông đã phát hiện ra lỗ hổng thực thi mã từ xa (RCE) zero-day trong trình duyệt web Microsoft Edge, cùng với PoC có sẵn và đang trong quá trình phát triển một mã khai thác.

Lỗ hổng RCE zero-day trong Edge do Liang phát hiện có thể cho phép thực thi mã tùy ý khi bị khai thác bởi kẻ tấn công tiềm năng, tùy thuộc vào cấp độ đặc quyền của tài khoản đã đăng nhập, có thể cài đặt chương trình trên máy bị xâm phạm, tạo tài khoản quản trị, cũng như đánh cắp và sửa đổi dữ liệu.

{

}

Microsoft Edge.png

Liang đã chứng minh bằng PoC trên Twitter với sự trợ giúp của một ảnh chụp màn hình hiển thị cửa sổ Calculator được sinh ra từ một instance Microsoft Edge.

Hơn nữa, Liang cũng đã tạo ra một video trình bày các kết quả của lỗ hổng RCE với trình duyệt web Microsoft Edge khởi chạy một instance Mozilla Firefox, vốn sẽ mở trang tải xuống Google Chrome.

Một bộ khai thác RCE Microsoft Edge cùng với sandbox escape trị giá $100.000

Theo Liang, mục tiêu của họ là tạo ra một bộ khai thác có khả năng thoát khỏi sandbox, điều này sẽ làm tăng đáng kể giá trị của nó trên thị trường khai thác.

Một bộ khai thác thực thi mã từ xa Microsoft Edge có giá trị lên tới $50.000 và $100.000 nếu đi kèm với một sandbox escape.

Liang cũng giải thích lý do đằng sau việc khai thác bị trì hoãn rằng trong quá trình phát triển khai thác, anh “mất một nửa mã khai thác do lỗi crash trong trình soạn thảo văn bản, không thể khôi phục bất kỳ bản sao lưu và quên lưu trong quá trình phát triển“.

Để đảm bảo lỗ hổng gây ra rủi ro thấp nhất, người dùng Microsoft Edge nên đăng nhập vào tài khoản không có đặc quyền quản trị và luôn phải cẩn thận với những liên kết mở trong trình duyệt web.

Theo Softpedia

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !