报告编号：B6-2019-040201

报告来源：360-CERT

报告作者：360-CERT

更新日期：2019-04-02

0x00 漏洞背景

2019 年 3 月 28 日，@Windowsrcer 在推特公布 微软 IE 和 Edge 浏览器的 UXSS 0day 漏洞。

2019 年 4 月 1 日，360CERT监测到漏洞情报并进行跟进。

UXSS (universal cross-site scripting) 是允许恶意网站执行通用跨站点脚本的简称，该漏洞可以在用户访问攻击者精心构造的页面下，打破 SOP 同源策略，窃取到用户任意网站的身份凭据，数据以及行为信息。

SOP (Same Origin Policy) 同源策略是现代浏览器中实现的一种安全功能，限制同一个来源的网页或脚本和另外一个来源的资源进行交互，从而阻止不相关站点互相干扰。换句话说，如果用户访问 web 浏览器中的站点，它仅可请求加载该站点的来源（域名）中的数据，不允许该网站以用户的身份提出针对其它网站的未授权访问，从而阻止其窃取用户数据。

360CERT判断该漏洞影响面广，危害严重。

0x01 漏洞验证

可以看到在 pwning.click 域下，对 bing.com 的搜索内容进行了窃取

0x02 修复建议

360CERT判断该漏洞影响面广，危害严重。微软截至目前为止没有推送针对此漏洞的修复补丁。建议广大用户不要轻易点击来历不明的链接。尽量避免使用 IE 以及 Edge 浏览器。

0x03 时间线

2019-04-01 360CERT监测到漏洞

2019-04-02 360CERT发布预警

0x04 参考链接

1. 代码卫士
2. Unpatched Zero-Days in Microsoft Edge and IE Browsers Disclosed Publicly
3. James Lee Other PoCs for Microsoft Edge and Internet Explorer