Уязвимость удаленного выполнения кода в Internet Explorer из-за некорректного доступа к объектам в памяти через Microsoft Windows Text Services Framework
Описание
В Internet Explorer обнаружена уязвимость, связанная с удаленным выполнением кода. Она возникает, когда браузер некорректно осуществляет доступ к объектам в памяти через Microsoft Windows Text Services Framework. Это может привести к порче памяти таким образом, что злоумышленник способен выполнить произвольный код с правами текущего пользователя. Если пользователь имеет права администратора, злоумышленник способен получить контроль над системой, устанавливать программы, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя.
Условия эксплуатации
Злоумышленник способен разместить специально подготовленный веб-сайт, используя уязвимость в Internet Explorer, и убедить пользователя посетить данный сайт. Помимо этого, он может использовать скомпрометированные сайты или ресурсы, которые принимают или размещают пользовательский контент. Злоумышленнику необходимо убедить пользователя взаимодействовать с контентом, например, через заманивание в электронном письме, мгновенном сообщении или вложением.
Решение
Обновление безопасности устраняет уязвимость посредством изменения обработки объектов в памяти Microsoft Windows Text Services Framework.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 for Itanium-Based Systems Service Pack 2 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) | ||
| Windows Server 2012 | ||
| Windows Server 2012 (Server Core installation) | ||
| Windows 8.1 for 32-bit systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
7.5 High
CVSS3
Связанные уязвимости
Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allow an attacker to execute arbitrary code in the context of the current user, due to how Microsoft Windows Text Services Framework handles objects in memory, aka "Windows Shell Memory Corruption Vulnerability".
Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allow an attacker to execute arbitrary code in the context of the current user, due to how Microsoft Windows Text Services Framework handles objects in memory, aka "Windows Shell Memory Corruption Vulnerability".
Уязвимость программного интерфейса Microsoft Windows Text Services Framework операционной системы Windows, позволяющая нарушителю выполнить произвольный код
EPSS
7.5 High
CVSS3