Microsoft Edgeに新たな脆弱性、リモートコード実行が可能

あるAnonymous Coward曰く、　セキュリティ研究者であるYushi Laing氏と協力者のAlexander Kochkov氏は、Microsoft Edgeブラウザに関する2つの脆弱性を発見した。Yushi Liang氏は、Edgeブラウザへのゼロデイ攻撃の可能性を訴えている。彼らは、SensePostのWadi Fuzzerユーティリティの助けを借りてゼロデイバグを発見したという。Yushi Laing氏は、概念実証としてブラウザから電卓（Windows Calculator）アプリを表示した画像を公開している。

　なお、脆弱性の発見者に対して報酬を出す制度があるが、Webブラウザをターゲットにした新しい侵入コードを発見すると高額の報奨金が出るという。Liang氏は、安定して悪用できるコードの開発と完全なサンドボックスエスケープを達成すること、実行権限をSYSTEMにエスカレートする方法を探す目的で研究をしていたとしている（BleepingComputer、ITPro、Slashdot）。

　スラドのコメントを読む | ITセクション | セキュリティ | バグ

　関連ストーリー：
CPUのSMT機能に関連した脆弱性が見つかる、SSL秘密鍵を盗む実証コードも公開 2018年11月07日
ハッキングコンテスト「Pwn2Own」で狙われたEdge、仮想マシン内のEdgeからホストにアクセスできる攻撃も行われる 2017年03月24日
Windowsの未修正脆弱性に対するサードパーティのパッチが公開される 2017年03月04日