来自科威特的安全研究人员Abdulrahman Al-Qabandi在本周发布了锁定Microsoft Edge安全漏洞的概念性验证攻击程序,该程序攻击了微软始于本周二(10/9)修补的CVE-2018-8495漏洞,而该漏洞也是由Al-Qabandi所发现。
CVE-2018-8495被微软列为Windows Shell的远程程序执行漏洞,当Windows Shell不当处理统一资源识别元(Uniform Resource Identifier,URIs)时就会触发该漏洞,允许黑客取得与用户同样的权限,假设用户是以管理员身份登录,黑客则能掌控被黑系统。
黑客只要架设一个可攻陷该漏洞的恶意网站,并诱导Microsoft Edge用户访问,说服用户与之交互,就能执行任意程序。
Al-Qabandi选在微软修补了该漏洞之后才公布概念性验证攻击程序,该程序由HTML及JavaScript组成,意味着任何网站只要嵌入该程序即可开采CVE-2018- 8495漏洞,幸好该程序只是为了展示,仅启动了Windows的计算机程序,不过仍能被黑客变更,用来下载及安装恶意程序。