Microsoft Edgeに新たな脆弱性、リモートコード実行が可能
2018年11月9日 21:34
あるAnonymous Coward曰く、 セキュリティ研究者であるYushi Laing氏と協力者のAlexander Kochkov氏は、Microsoft Edgeブラウザに関する2つの脆弱性を発見した。Yushi Liang氏は、Edgeブラウザへのゼロデイ攻撃の可能性を訴えている。彼らは、SensePostのWadi Fuzzerユーティリティの助けを借りてゼロデイバグを発見したという。Yushi Laing氏は、概念実証としてブラウザから電卓(Windows Calculator)アプリを表示した画像を公開している。
なお、脆弱性の発見者に対して報酬を出す制度があるが、Webブラウザをターゲットにした新しい侵入コードを発見すると高額の報奨金が出るという。Liang氏は、安定して悪用できるコードの開発と完全なサンドボックスエスケープを達成すること、実行権限をSYSTEMにエスカレートする方法を探す目的で研究をしていたとしている(BleepingComputer、ITPro、Slashdot)。