Уязвимость обхода безопасности в Windows из-за некорректной обработки проверки чувствительности к регистру для некоторых переменных
Описание
Уязвимость позволяет злоумышленнику устанавливать переменные, которые являются только для чтения или требуют аутентификации.
Условия эксплуатации
Для эксплуатации этой уязвимости злоумышленник способен запустить специально разработанное приложение, чтобы обойти безопасность переменных в интерфейсе Unified Extensible Firmware Interface (UEFI) в Windows.
Решение
Обновление безопасности исправляет уязвимость, корректируя поведение функции безопасности для обеспечения проверки чувствительности к регистру для определенных переменных.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 8.1 for 32-bit systems | ||
| Windows 8.1 for x64-based systems | ||
| Windows Server 2012 R2 | ||
| Windows RT 8.1 | - | |
| Windows Server 2012 R2 (Server Core installation) | ||
| Windows 10 for 32-bit Systems | ||
| Windows 10 for x64-based Systems | ||
| Windows 10 Version 1511 for x64-based Systems | ||
| Windows 10 Version 1511 for 32-bit Systems | ||
| Windows Server 2016 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
5.6 Medium
CVSS3
Связанные уязвимости
Microsoft Windows 8.1 and Windows RT 8.1, Windows Server 2012 R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allow an attacker to set variables that are either read-only or require authentication when Windows fails to enforce case sensitivity for certain variable checks, aka "Windows Security Feature Bypass Vulnerability".
Microsoft Windows 8.1 and Windows RT 8.1, Windows Server 2012 R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allow an attacker to set variables that are either read-only or require authentication when Windows fails to enforce case sensitivity for certain variable checks, aka "Windows Security Feature Bypass Vulnerability".
EPSS
5.6 Medium
CVSS3