Microsoft Internet Explorer and Edge SecurityContext Use-After-Free 远程代码执行漏洞

XLAB ID: XLAB-15-003     

CVE ID: CVE-2015-2494     

Patch Status: 已修复

Vulnerability Details:
该漏洞允许远程攻击者在微软Internet Explorer和Microsoft Edge中执行任意代码。利用这个漏洞需要用户交互,该目标需要访问恶意网页或打开恶意文件。漏洞涉及SecurityContext对象。攻击者通过操纵文档元素可以强制SecurityContext对象在内存中释放后重用。攻击者可以利用此漏洞在当前进程的上下文中执行任意代码。

Disclosure Timeline:

2015/06/09 向Microsoft Security Response Center(secure@microsoft.com)提供漏洞细节
2015/06/10 Microsoft Security Response Center邮件自动回复
2015/06/23 Microsoft Security Response Center回复正在验证漏洞细节
2015/09/08 Microsoft Security Response Center分配CVE-ID CVE-2015-2494

Credit:
漏洞发现者:   exp-sky