freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

我发现了一个Edge浏览器漏洞,价值5000美金
2019-04-03 13:00:10

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

近期, 360 企业安全集团代码卫士团队安全研究人员发现微软公司 Windows10 操作系统自带的 Edge 浏览器存在安全漏洞 ( CVE-2019-0648 ),并第一时间向微软公司报告,协助其修复漏洞。

Edge 浏览器是微软 Windows10 操作系统默认浏览器。北京时间2019年2月13日,微软公司发布了补丁更新公告以及致谢公告( https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgments ),公开致谢360企业安全集团代码卫士团队研究人员,并随后给予5000美元的漏洞奖励。

图 微软公司致谢及漏洞信息公告

Edge 浏览器的 ChakrCore 引擎由于缺乏对特殊字符的检查,进而绕过边界的结束处理,导致可以越界访问内存空间。在一定条件下,成功利用此漏洞的攻击者可以造成信息泄露。建议用户及时更新补丁进行修复。

参考链接

CVE-2019-0648|Scripting Engine Information Disclosure Vulnerability

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0648

*本文作者:360代码卫士,转载请注明来自FreeBuf.COM

 

# 漏洞 # 浏览器 # Edge
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者