我发现了一个Edge浏览器漏洞,价值5000美金
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
近期, 360 企业安全集团代码卫士团队安全研究人员发现微软公司 Windows10 操作系统自带的 Edge 浏览器存在安全漏洞 ( CVE-2019-0648 ),并第一时间向微软公司报告,协助其修复漏洞。
Edge 浏览器是微软 Windows10 操作系统默认浏览器。北京时间2019年2月13日,微软公司发布了补丁更新公告以及致谢公告( https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgments ),公开致谢360企业安全集团代码卫士团队研究人员,并随后给予5000美元的漏洞奖励。
图 微软公司致谢及漏洞信息公告
Edge 浏览器的 ChakrCore 引擎由于缺乏对特殊字符的检查,进而绕过边界的结束处理,导致可以越界访问内存空间。在一定条件下,成功利用此漏洞的攻击者可以造成信息泄露。建议用户及时更新补丁进行修复。
参考链接
CVE-2019-0648|Scripting Engine Information Disclosure Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0648
*本文作者:360代码卫士,转载请注明来自FreeBuf.COM
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐