首页 > 安全钻研 > 安全传递 > 安全公告

微软 Edge 和 IE 浏览器0day缝隙安全公告

颁布功夫 2019-04-01

缝隙编号和级别

CVE编号：暂无，危险级别：高危， CVSS分值：官方未评定

影响领域

受影响版本：
微软 Edge 和 IE 浏览器

缝隙概述

一名钻研人员暗示，由于微软未回复自己掌管任的暗里披露，因而决定公开微软 Edge 和 IE 浏览器中未建复的两个0day缝隙详情和 PoC。

这两个未建复的缝隙，其中一个影响微软 IE 浏览器的最新版本，另表一个影响最新的 Edge 浏览器，它们均可导致远程攻击者绕过受害者 web 浏览器中的同源战术。

同源战术是现代浏览器中实现的一种安全职能，限度统一个起源的网页或剧本和另表一个起源的资源进行交互，从而阻止不有关站点互有关扰�；痪浠八�，若是用户接见 web 浏览器中的站点，它仅可要求加载该站点的起源（域名）中的数据，不允许该网站以用户的身份提出针对其它网站的未授权接见，从而阻止其窃取用户数据。

然而，这两个0day缝隙，可导致恶意网站在针对通过易受攻击的这两个站点接见的肆意域名执行通用跨站点剧本（UXSS）攻击。

要成功利用这些缝隙，攻击者所需做的就是说服受害者打开攻击者机关的恶意网站，从统一浏览器接见的其它站点上窃取受害者数据如登录会话和cookie。该问题存在于微软浏览器中的 Resource Timing Entries 中，它不正确地在沉定向后泄漏了跨源 URL。

缝隙利用

目前已颁布这两个 0day 缝隙的 PoC：https://twitter.com/Windowsrcer/status/1111593640357355520。
针对 IE 的 PoC：pwning.click/iecrossurl.html
针对 Edge的 PoC: pwning.click/edgecrossurl.html

GA黄金甲·(中国区)官方网站

建复建议

由于这两个缝隙的详情和 PoC 已颁布，黑客很快就会找到利用方式从而攻击微软用户。
目前微软没有颁布补丁。用户只能选择使用不受影响的其它 web 浏览器如 Chrome 或火狐浏览器。

参考链接

https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

微软 Edge 和 IE 浏览器0day缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线