首页 > 清静研究 > 清静转达 > 清静通告

微软 Edge 和 IE 浏览器0day误差清静通告

宣布时间 2019-04-01

误差编号和级别

CVE编号：暂无，，，，，危险级别：高危，，，，， CVSS分值：官方未评定

影响规模

受影响版本：
微软 Edge 和 IE 浏览器

误差概述

一名研究职员体现，，，，，由于微软未回复自己认真任的私下披露，，，，，因此决议果真微软 Edge 和 IE 浏览器中未修复的两个0day误差详情和 PoC。。。。。。。

这两个未修复的误差，，，，，其中一个影响微软 IE 浏览器的最新版本，，，，，另外一个影响最新的 Edge 浏览器，，，，，它们均可导致远程攻击者绕过受害者 web 浏览器中的同源战略。。。。。。。

同源战略是现代浏览器中实现的一种清静功效，，，，，限制统一个泉源的网页或剧本和另外一个泉源的资源举行交互，，，，，从而阻止不相关站点相互滋扰。。。。。。�；；；；；；痪浠八�，，，，，若是用户会见 web 浏览器中的站点，，，，，它仅可请求加载该站点的泉源（域名）中的数据，，，，，不允许该网站以用户的身份提出针对其它网站的未授权会见，，，，，从而阻止其窃取用户数据。。。。。。。

然而，，，，，这两个0day误差，，，，，可导致恶意网站在针对通过易受攻击的这两个站点会见的恣意域名实验通用跨站点剧本（UXSS）攻击。。。。。。。

要乐成使用这些误差，，，，，攻击者所需做的就是说服受害者翻开攻击者结构的恶意网站，，，，，从统一浏览器会见的其它站点上窃取受害者数据如登录会话和cookie。。。。。。。该问题保存于微软浏览器中的 Resource Timing Entries 中，，，，，它不准确地在重定向后走漏了跨源 URL。。。。。。。

误差使用

现在已宣布这两个 0day 误差的 PoC：https://twitter.com/Windowsrcer/status/1111593640357355520。。。。。。。
针对 IE 的 PoC：pwning.click/iecrossurl.html
针对 Edge的 PoC: pwning.click/edgecrossurl.html

万利国际官网(中国游)有限公司

修复建议

由于这两个误差的详情和 PoC 已宣布，，，，，黑客很快就会找到使用方法从而攻击微软用户。。。。。。。
现在微软没有宣布补丁。。。。。。。用户只能选择使用不受影响的其它 web 浏览器如 Chrome 或火狐浏览器。。。。。。。

参考链接

https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

微软 Edge 和 IE 浏览器0day误差清静通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线