安全研究

安全漏洞
Microsoft Edge远程内存破坏漏洞(CVE-2019-0926)

发布日期:2019-06-04
更新日期:2019-06-04

受影响系统:
Microsoft Windows Server 2016 for x64-based Systems
Microsoft Windows Server 2016
Microsoft Windows 10 Version 1803 for x64-based Sys
Microsoft Windows 10 Version 1803 for ARM64-based S
Microsoft Windows 10 Version 1803 for 32-bit System
Microsoft Windows 10 Version 1709 for x64-based Sys
Microsoft Windows 10 Version 1709 for ARM64-based S
Microsoft Windows 10 Version 1703 for x64-based Sys
Microsoft Windows 10 Version 1703 for 32-bit System
Microsoft Windows 10 version 1607 for 32-bit System
Microsoft Windows 10 version 1511 for x64-based Sys
Microsoft Windows 10 version 1511 for 32-bit System
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 for 32-bit Systems
描述:
BUGTRAQ  ID: 108253
CVE(CAN) ID: CVE-2019-0926

Microsoft Edge是一个由微软研发的浏览器。
Microsoft Edge不正确地访问内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种使攻击者能够在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则攻击者可以控制受影响的系统。然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。

攻击者可能拥有一个旨在通过Microsoft Edge利用此漏洞的特制网站,然后诱使用户查看该网站。攻击者还可以通过添加可能利用此漏洞的特制内容来利用受感染的网站和接受或托管用户提供的内容或广告的网站。但是,在所有情况下,攻击者都无法强迫用户查看攻击者控制的内容。相反,攻击者必须说服用户采取行动,通常是通过电子邮件或Instant Messenger消息中的诱惑,或让他们打开通过电子邮件发送的附件。

<*来源:360伏尔甘(Vulcan)团队的刘龙(Liu Long,音译)
  
  链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0926
*>

建议:
厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(CVE-2019-0926)以及相应补丁:
CVE-2019-0926:Microsoft Edge Memory Corruption Vulnerability
链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0926

补丁下载:

浏览次数:1868
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障