Der Sicherheitsforscher Abdulrahman Al-Qabandi hat in seinem
Blog eine Lücke im Edge Browser beschrieben, die über Code aktiviert werden konnte, der in einer Website verborgen liegt. Wie "Zdnet"
schreibt, hat Al-Qabandi
Microsoft über die
Zero-Day-Initiative von Trend Micro auf die Lücke aufmerksam gemacht, die mittlerweile im Windows Oktober-Update geschlossen wurde.
Erstaunlich ist, dass der Proof of Concept Code, den Al-Qabandi zur Verfügung gestellt hat, lediglich aus HTML und Javascript besteht. Ein Angreifer könnte diesen deshalb leicht in einer beliebigen Website verstecken und müsste das Opfer nur dazu bringen, diese Website mit dem Edge Browser zu besuchen. Es würde danach reichen, die Enter-Taste zu drücken, um ein Visual Basic Script über den Windows Script Host auszuführen, was es einem geübten Hacker ermöglichen würde, alle möglichen Aktionen auf dem Zielrechner auszuführen. Laut Microsoft seien keine Fälle bekannt, in denen die Lücke ausgenutzt wurde.
(luc)