在微软的愿景中,Edge浏览器是更快、更可靠、更安全的IE继任者,并且在续航等方面具备和Chrome和Firefox等主流浏览器叫板的实力。事实证明Edge和这些浏览器之间还存在差距,至少在安全方面。在本月召开的Pwn2Own黑客大会上,五支不同的团队成功攻破了Edge浏览器。
来自腾讯安全团队Ether获得了8万美元的奖励,成功在广受赞誉的Chakra JavaScript引擎上入侵执行任意代码。来自腾讯安全的Team Lance 和Team Sniper在大会第二天在Chakra引擎中发现use-after-free (UAF) 漏洞而分别获得5.5万美元的奖励。
独立安全专家Richard Zhu在Edge浏览器中发现了两个UAF安全漏洞,获得了5.5万美元的奖励。最后一个是来自360安全团队,使用微软软件包括边缘堆溢出、Windows Kernel漏洞和VMWare Workstation漏洞等一系列漏洞成功入侵Edge浏览器。
而作为对比的是,Chrome浏览器已经比较难以破解,在今年的Pwn2Own大会上,只有来自腾讯安全的Team Sniper非常接近于成功入侵,但最终由于时间不足而失败。
0day
文章评论