Уязвимость утечки информации в Windows EOT Font Engine из-за некорректной обработки встроенных шрифтов
Описание
Уязвимость утечки информации обнаружена в том, как Microsoft Windows Embedded OpenType (EOT) Font Engine обрабатывает специально созданные встроенные шрифты. Злоумышленник, успешно эксплуатировавший эту уязвимость, способен прочитать данные, которые не предназначены для раскрытия. Хотя эта уязвимость не позволяет злоумышленнику выполнить код или повысить уровень доступа пользователя напрямую, она может быть использована для получения информации с целью дальнейшей компрометации системы.
Условия эксплуатации
Для эксплуатации этой уязвимости злоумышленнику необходимо войти в уязвимую систему и открыть документ, содержащий специально созданные шрифты.
Решение
Обновление безопасности решает проблему уязвимости, исправляя способ, которым Windows EOT font engine обрабатывает встроенные шрифты.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
4.3 Medium
CVSS3
Связанные уязвимости
The Microsoft Windows Embedded OpenType (EOT) font engine in Microsoft Windows 7 SP1 and Windows Server 2008 R2 allows information disclosure, due to how the Windows EOT font engine handles embedded fonts, aka "Windows EOT Font Engine Information Disclosure Vulnerability". This CVE ID is unique from CVE-2018-0755, CVE-2018-0760, and CVE-2018-0761.
The Microsoft Windows Embedded OpenType (EOT) font engine in Microsoft Windows 7 SP1 and Windows Server 2008 R2 allows information disclosure, due to how the Windows EOT font engine handles embedded fonts, aka "Windows EOT Font Engine Information Disclosure Vulnerability". This CVE ID is unique from CVE-2018-0755, CVE-2018-0760, and CVE-2018-0761.
EPSS
4.3 Medium
CVSS3