安全研究

安全漏洞
Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞 (CVE-2019-0806)

发布日期:2019-04-09
更新日期:2019-04-09

受影响系统:
描述:
BUGTRAQ  ID: 107713
CVE(CAN) ID: CVE-2019-0806

Chakra脚本引擎处理Microsoft Edge内存中对象的方式中,存在一个远程执行代码漏洞。该漏洞可能允许攻击者通过在当前用户的上下文中执行任意代码来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序;查看、更改或删除数据; 或创建具有完全用户权限的新帐户。

在基于Web的攻击场景中,攻击者可能拥有一个通过Microsoft Edge利用此漏洞的特制网站,然后诱使用户查看该网站内容。攻击者还可以利用被攻破的网站,以及接受或托管用户提供内容或广告的网站。这些网站可能包含利用此漏洞的特制内容。

<*来源:Yuki Chen
        Qixun Zhao of Qihoo 360 Vulcan Team
  
  链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0806
*>

建议:
厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(CVE-2019-0806)以及相应补丁:
CVE-2019-0806:Chakra Scripting Engine Memory Corruption Vulnerability
链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0806

补丁下载:

浏览次数:2452
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障