研究人员赚了4万美元
一名安全研究人员因发现新的基于Chromium的Microsoft Edge Browser浏览器中的最早的错误而获得了40,000美元的收入。
Abdulrhman Alqabandi在新的浏览器中发现了三个不同的错误,在A中共同赚了40,000美元奖励计划由Microsoft在八月设置。
在此程序下,只有Microsoft拥有的代码才有资格,从而使Alqabandi能够击中的小攻击表面开放。
由Alqabandi开发的概念证明(POC)涉及利用跨站脚本((XSS)Microsoft Edge中的漏洞以实现特权升级攻击。
尽管未经证实,但阿尔卡班迪怀疑他发现的一个单独的错误可能允许创建一个远程代码执行((RCE)利用,而不是他能够产生的简单浏览器崩溃。
其中一个XSS错误涉及改版边缘浏览器的新选项卡(NTP)组件(NTP)的一个新功能,并且与未能消毒访问的网页标题有关。beplay体育能用吗缺点意味着执行了潜在的敌对JavaScript。
该错误意味着可以将JavaScript从普通Web内容中注入更高的特权上下文中,因为NTP被设置为Microsoft Edge(Chromium)内的较高特权页面。beplay体育能用吗
Alqabandi发现的三个错误中的最后一个涉及cookie操纵,滥用旧的MSN网站并接管NTP页面,如Alqabandi在详细的内容中所解释的那样技术博客文章。该帖子具有POC代码和视频。
响应查询每日swbeplay2018官网ig,Alqabandi评论关于他在Edge中发现的各种漏洞的严重性:“最坏的情况(前两个)可以通过让用户简单地访问网页来导致远程代码执行。beplay体育能用吗
“这意味着可以使用它在用户计算机上安装他们喜欢的任何程序。”
微软尚未回应置评请求。
Chromium是由Google开发的开源浏览器,它将为Edge的未来版本提供动力,更换以前的Edgehtml引擎在引擎盖下。它始于Google Chrome背后的引擎。
Alqabandi报道了他的发现在微软处理了他的报告之后,9月份向微软公开披露了他在节日期间的研究。
