最近几天，根据Twitter昵称@ Yux1xi（Yushi Liang）的安全研究人员的说法，他计划在Microsoft Edge上发布一个为期0天的漏洞，它可以为Edge浏览器实现远程代码。执行（RCE），@ Yux1xi还声称他和俄罗斯朋友@alexkochkov已经完成了一个80行的漏洞利用代码，将于11月13日至14日在东京的Pwn2Own黑客（Pwn2own Mobile）。来演示具体的使用过程。 漏洞披露时间 11月1日，@ Yux1xi（Yushi Liang）在Twitter上发布消息说： 我们刚刚打破#Edge， 与kochkov合作以获得稳定的利用，支撑自己SBX即将到来！ （我们刚刚突破了Edge浏览器，现在我们正在与朋友Kochkov合作开发一个稳定版本的漏洞利用代码。等等看，我们的沙箱逃生技术SBX: Sandbox Escape即将推出！） 根据@ Yux1xi发布的上述信息，该漏洞是Edge浏览器的沙箱逃逸漏洞。与此同时，@ Yux1xi还发布了漏洞触发器弹出系统计算器的图片，如下： @ Yux1xi也在Twitter上透露，由于未保存的原因和代码编辑器崩溃错误，开发中的漏洞利用代码（漏洞利用）丢失了。 在与记者沟通的早些时候，@ Yux1xi表示他和他的朋友正在编写一个稳定版本的漏洞利用代码（exploit），并将尝试执行一些系统提升操作来实现漏洞主机。完全接管控制，@ Yux1xi也表明该漏洞是使用Sensepost发布的  Wadi Fuzzer 工具发现的。 11月2日，@ Yux1xi在Twitter上表示将在11月13日至14日在东京举行的Pwn2Own黑客比赛（Pwn2own Mobile）上展示具体的漏洞利用程序： 11月4日，@ Yux1xi发布了一条推文，声称它已经与俄罗斯朋友@alexkochkov完成了80行漏洞利用代码，而@alexkochkov也发了一条推文说：要找0天玩！ （找0天或死我试试） Edge浏览器RCE漏洞的市场价格 目前，0天漏洞市场相当不错。有很多漏洞经纪人或公司为特定的浏览器漏洞提供了巨大的优惠。对于单独的Zerodium，Edge的0天漏洞报价是50,000美元，如果你仍然可以实现浏览器沙盒逃生，那么价格将翻倍$ 100,000。 Coseinc的漏洞支付计划Pwnorama之前曾在微软的浏览器上为RCE 0天报出30,000美元。如果可以征收漏洞，则报价为80,000美元。 当然，除了漏洞经纪公司外，还有其他机构提供漏洞价格。例如，在今年的Pwn2Own黑客竞赛中，趋势科技的ZeroDay Initiative漏洞项目将为Edge的沙箱逃逸漏洞提供60,000美元，如下所示： Liang对浏览器漏洞的研究 @Yux1xi（Yushi Liang）似乎对浏览器漏洞进行了大量研究。正如你在Twitter上看到的，他使用了三个bug来为Firefox浏览器实现RCE远程代码执行。他还说，这是一个很难找到的漏洞，因为第三个漏洞需要太多的研究才能发现。 Firefox RCE 3漏洞链中使用的漏洞+ UAF！很高兴完成 在另一项研究中，Liang还透露他可以在Chromium浏览器中实现RCE而无需沙箱转义： 漏洞演示 为响应即将发布的Edge浏览器0天漏洞，应记者的要求，Liang展示了他所做的漏洞利用的演示视频。视频中的漏洞利用代码利用将在Edge浏览器中自动执行一对。正在加载Chrome浏览器下载页面： *参考源：bleepingcomputer，云编译，从FreeBuf转移 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。