最新微软Edge浏览器远程命令执行PoC被公开（CVE-2018-8629）

今天小凯seo博客转载一篇来自百度安全指数官网发布的标题为：最新微软Edge浏览器远程命令执行PoC被公开（CVE-2018-8629）的内容，发布时间是2018年12月29日，正文部分如下：

事件描述

近期，国外安全人员发布了一个微软Edge浏览器内存破坏漏洞的PoC。当这个PoC作用于未打补丁的机器时，可导致远程命令执行。

这个漏洞主要影响基于ja vasc ript引擎Chakra的微软Edge浏览器，攻击者利用该漏洞能可以拥有已登录用户相同的权限，并在机器上运行任意代码。

PoC链接：https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js 代码一共只有71行，主要会造成越界（OOB）读取内存，PoC的运行效果不会有太大的危害性，但攻击者可以通过修改PoC去实现侵略性行为。

PoC内容如下：

缓解措施

该漏洞已经在微软12月安全补丁中被修复，修复补丁链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8629 。