Microsoft Edge’dagi muhim zaiflik uchun ekspluatatsiya e’lon qilindi.
Muammo kodni joriy foydalanuvchining imtiyozlari bilan bajarishga imkon beradi.
Phoenhex jamoasi Microsoft Edge brauzerining bir qismi bo’lgan Chakra JavaScript dvigatelidagi zaiflikdan (CVE-2018-8629) foydalanish uchun GitHib-ga konsepsiyani isbotlash kodini joylashtirdi, bu esa yamalmagan tizimlarda joriy foydalanuvchi imtiyozlari bilan o’zboshimchalik bilan kodni bajarish imkonini beradi. Konsepsiyani isbotlash kodi 71 qator koddan iborat bo’lib, chegaradan tashqari xotira o’qilishini ta’minlaydi. Hozirgi shaklida ekspluatatsiya jiddiy zarar etkazmaydi, ammo tegishli o’zgartirishlar bilan tajovuzkorlar undan dasturlarni o’rnatish, ma’lumotlarni ko’rish, o’zgartirish yoki o’chirish yoki administrator imtiyozlariga ega yangi hisob yaratish uchun foydalanishlari mumkin. Zaiflikdan foydalanish uchun tajovuzkor jabrlanuvchini zararli veb-saytga jalb qilishi yoki ekspluatatsiyani ular tez-tez tashrif buyuradigan resurslarga joylashtirishi kerak bo’ladi.
Dekabr oyi boshida Microsoft bir qator mahsulotlardagi jami 39 ta zaiflikni, jumladan, CVE-2018-8629 muammosini bartaraf etgan rejalashtirilgan xavfsizlik yangilanishlarini chiqardi. Biroq, bu barcha foydalanuvchilarni avtomatik ravishda himoya qilmaydi, chunki ko’pchilik yangilanishlarni o’chirib qo’yishni yoki qulayroq vaqtgacha kechiktirishni yoki yamoqlarni o’rnatish uchun tizim administratorlariga ishonishni tanlaydi.
