首页 > 清静研究 > 清静转达 > 清静通告

微软 Edge 和 IE 浏览器0day误差清静通告

宣布时间 2019-04-01

误差编号和级别

CVE编号：暂无，，危险级别：高危，， CVSS分值：官方未评定

影响规模

受影响版本：
微软 Edge 和 IE 浏览器

误差概述

一名研究职员体现，，由于微软未回复自己认真任的私下披露，，因此决议果真微软 Edge 和 IE 浏览器中未修复的两个0day误差详情和 PoC。。。。。。

这两个未修复的误差，，其中一个影响微软 IE 浏览器的最新版本，，另外一个影响最新的 Edge 浏览器，，它们均可导致远程攻击者绕过受害者 web 浏览器中的同源战略。。。。。。

同源战略是现代浏览器中实现的一种清静功效，，限制统一个泉源的网页或剧本和另外一个泉源的资源举行交互，，从而阻止不相关站点相互滋扰。。。。。。唬�；；痪浠八�，，若是用户会见 web 浏览器中的站点，，它仅可请求加载该站点的泉源（域名）中的数据，，不允许该网站以用户的身份提出针对其它网站的未授权会见，，从而阻止其窃取用户数据。。。。。。

然而，，这两个0day误差，，可导致恶意网站在针对通过易受攻击的这两个站点会见的恣意域名实验通用跨站点剧本（UXSS）攻击。。。。。。

要乐成使用这些误差，，攻击者所需做的就是说服受害者翻开攻击者结构的恶意网站，，从统一浏览器会见的其它站点上窃取受害者数据如登录会话和cookie。。。。。。该问题保存于微软浏览器中的 Resource Timing Entries 中，，它不准确地在重定向后走漏了跨源 URL。。。。。。

误差使用

现在已宣布这两个 0day 误差的 PoC：https://twitter.com/Windowsrcer/status/1111593640357355520。。。。。。
针对 IE 的 PoC：pwning.click/iecrossurl.html
针对 Edge的 PoC: pwning.click/edgecrossurl.html

人生就是博-尊龙凯时中国官网

修复建议

由于这两个误差的详情和 PoC 已宣布，，黑客很快就会找到使用方法从而攻击微软用户。。。。。。
现在微软没有宣布补丁。。。。。。用户只能选择使用不受影响的其它 web 浏览器如 Chrome 或火狐浏览器。。。。。。

参考链接

https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

微软 Edge 和 IE 浏览器0day误差清静通告

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线