Проблема позволяет выполнить код с правами текущего пользователя.
Команда Phoenhex разместила на GitHib PoC-код для эксплуатации уязвимости (CVE-2018-8629) в JavaScript-движке Chakra, входящем в состав браузера Microsoft Edge, которая позволяет выполнить произвольный код с правами текущего пользователя на непропатченных системах.
PoC-код включает 71 строку кода и приводит к чтению за пределами выделенной области памяти. В текущем виде эксплоит не нанесет серьезного ущерба, но при соответствующей доработке злоумышленники смогут с его помощью устанавливать программы, просматривать, модифицировать, удалять данные или создать новую учетную запись с правами администратора. Для эксплуатации уязвимости атакующему потребуется заманить жертву на вредоносный сайт или разместить эксплоит на часто посещаемых ею ресурсах.
В начале декабря Microsoft выпустила плановые обновления безопасности, устраняющие в общей сложности 39 уязвимостей в ряде продуктов, в том числе проблему CVE-2018-8629, однако это не означает автоматическую защиту для всех пользователей, поскольку многие предпочитают отключить или отложить обновление до более подходящего момента или зависят от того, когда системные администраторы установят патчи.
Команда Phoenhex разместила на GitHib PoC-код для эксплуатации уязвимости (CVE-2018-8629) в JavaScript-движке Chakra, входящем в состав браузера Microsoft Edge, которая позволяет выполнить произвольный код с правами текущего пользователя на непропатченных системах.
PoC-код включает 71 строку кода и приводит к чтению за пределами выделенной области памяти. В текущем виде эксплоит не нанесет серьезного ущерба, но при соответствующей доработке злоумышленники смогут с его помощью устанавливать программы, просматривать, модифицировать, удалять данные или создать новую учетную запись с правами администратора. Для эксплуатации уязвимости атакующему потребуется заманить жертву на вредоносный сайт или разместить эксплоит на часто посещаемых ею ресурсах.
В начале декабря Microsoft выпустила плановые обновления безопасности, устраняющие в общей сложности 39 уязвимостей в ряде продуктов, в том числе проблему CVE-2018-8629, однако это не означает автоматическую защиту для всех пользователей, поскольку многие предпочитают отключить или отложить обновление до более подходящего момента или зависят от того, когда системные администраторы установят патчи.
