快讯 | 微软 Edge 浏览器爆高危漏洞,受控电脑可执行任意命令
财税管理
IT技术
金蝶云社区-iNg
iNg
14人赞赏了该文章 203次浏览 未经作者许可,禁止转载编辑于2018年10月17日 17:11:40

10月12日,有安全研究人员发布了Windows Shell REC( CVE-2018-8495))漏洞概念验证代码,受影响软件为Windows 10内置的Microsoft Edge,攻击者可以使用该代码通过Microsoft Edge浏览器在远程计算机上运行恶意代码。

据了解,漏洞是由于Windows Shell处理URI时,未过滤特殊的URI,如拉起脚本的Windows Script Host的URI为wshfile,导致的RCE。

1.jpg

2.jpg

当构造包含特殊URI的网页时,诱导用户打开点击,会弹出下面这个窗口,此时默认焦点位于ok按钮上,只有用户再按一次enter键,就会拉起脚本执行任意命令。

该漏洞于10月9日曝光,级别属于“高危”。目前,微软已经发布修复补丁。用户可以点击此处尽快修复。


本文转载自 cnBeta

赞 14

推荐阅读

Cisco WebEx远程代码执行漏洞

导语:研究人员在Cisco的WebEx在线和视频协作软件中发现一个不同寻常的远程代码执行漏洞。用户可以通过WebEx客户端的一个组件在WebEx没有监听远程连接 …

    文章

    252

微软向谷歌投降重构Edge 但IE浏览器为何 …

(原标题:MICROSOFT RETOOLS EDGE, BUT INTERNET EXPLORER IS FOREVER) [图片] 网易科技讯 12月8日消 …

    文章

    345

Windows下dos命令常用收纳

dir (directory) :列出当前目录下的文件以及文件夹 md (make directory): 创建目录 rd (remove directory) …

    文章

    282