BDU:2019-02491

Опубликовано: 11 июн. 2019

Источник: fstec

CVSS3: 7.5

CVSS2: 7.6

EPSS Низкий

Описание

Уязвимость обработчика JavaScript-сценариев ChakraCore браузера Microsoft Edge связана с ошибками обработки объектов в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально сформированной веб-страницы

Вендор

Microsoft Corp

Наименование ПО

Microsoft Edge

ChakraCore

Версия ПО

- (Microsoft Edge)

до 1.11.10 (ChakraCore)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows 10

Microsoft Corp Windows 10 1607

Microsoft Corp Windows 10 1703

Microsoft Corp Windows Server 2016

Microsoft Corp Windows 10 1703

Microsoft Corp Windows 10 1709

Microsoft Corp Windows 10 1803

Microsoft Corp Windows 10 1809

Microsoft Corp Windows Server 2019

Microsoft Corp Windows 10 1809

Microsoft Corp Windows 10 1709

Microsoft Corp Windows 10 1803

Microsoft Corp Windows 10 1903

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0993

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0993

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-0993
CVE

EPSS

Процентиль: 80%

0.01407

Низкий

7.5 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2019-0993

CVSS3: 4.2

nvd

больше 6 лет назад

A remote code execution vulnerability exists in the way that the Chakra scripting engine handles objects in memory in Microsoft Edge (HTML-based). The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit the vulnerability through Microsoft Edge (HTML-based) and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided conte

CVE-2019-0993

CVSS3: 4.2

msrc

больше 6 лет назад

Chakra Scripting Engine Memory Corruption Vulnerability

GHSA-2rfj-2mwp-787v