基于初步分析,该漏洞是由于MutationObserver引用被释放的InterpreterThunk地址引发的UAF漏洞
分析环境IE11.0.9600.17843 32bit+Windows 7
漏洞触发步骤
1. 新建MutationObserver对象(M0),然后重置整个页面
2. 创建一个元素,并新建MutationObserver对象(M1)关联这个元素。
3. 触发M1的回调
4. 切换脚本scope
5. 页面重置完成,释放了和M1关联的回调InterpreterThunk。
6. 再次触发M1的回调,引起了IE崩溃,EIP跳转到一个不可访问的地址
7. CrashInfo:
预警
微软当前已经在跟进修复这个安全漏洞,用户当前可以暂且使用Chrome浏览器并且暂时禁用FLASH,以避风头。