首頁 > 安全研究 > 安全通報 > 安全通告

微軟 Edge 和 IE 瀏覽器0day漏洞安全通告

發布時間 2019-04-01

漏洞編號和級別


CVE編號:暫無,危險級別:高危, CVSS分值:官方未評定


影響范圍


受影響版本:
微軟 Edge 和 IE 瀏覽器


漏洞概述


一名研究人員表示,因為微軟未回復自己負責任的私下披露,因此決定公開微軟 Edge 和 IE 瀏覽器中未修復的兩個0day漏洞詳情和 PoC。


這兩個未修復的漏洞,其中一個影響微軟 IE 瀏覽器的最新版本,另外一個影響最新的 Edge 瀏覽器,它們均可導致遠程攻擊者繞過受害者 web 瀏覽器中的同源策略。


同源策略是現代瀏覽器中實現的一種安全功能,限制同一個來源的網頁或腳本和另外一個來源的資源進行交互,從而阻止不相關站點互相干擾。換句話說,如果用戶訪問 web 瀏覽器中的站點,它僅可請求加載該站點的來源(域名)中的數據,不允許該網站以用戶的身份提出針對其它網站的未授權訪問,從而阻止其竊取用戶數據。


然而,這兩個0day漏洞,可導致惡意網站在針對通過易受攻擊的這兩個站點訪問的任意域名實施通用跨站點腳本(UXSS)攻擊。


要成功利用這些漏洞,攻擊者所需做的就是說服受害者打開攻擊者構造的惡意網站,從同一瀏覽器訪問的其它站點上竊取受害者數據如登錄會話和cookie。該問題存在于微軟瀏覽器中的 Resource Timing Entries 中,它不正確地在重定向后泄漏了跨源 URL。


漏洞利用


目前已發布這兩個 0day 漏洞的 PoC:https://twitter.com/Windowsrcer/status/1111593640357355520。
針對 IE 的 PoC:pwning.click/iecrossurl.html
針對 Edge的 PoC: pwning.click/edgecrossurl.html



修復建議


由于這兩個漏洞的詳情和 PoC 已發布,黑客很快就會找到利用方式從而攻擊微軟用戶。
目前微軟沒有發布補丁。用戶只能選擇使用不受影響的其它 web 瀏覽器如 Chrome 或火狐瀏覽器。


參考鏈接


https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html


上一篇 下一篇