CVE-2018-8407

Опубликовано: 13 нояб. 2018

Источник: msrc

CVSS3: 3.3

EPSS Низкий

Уязвимость утечки информации в Windows Remote Procedure Call (RPC) из-за некорректной инициализации объектов в памяти

Описание

Злоумышленник, успешно эксплуатировавший эту уязвимость, способен получить информацию для дальнейшей компрометации системы пользователя.

Условия эксплуатации

Для эксплуатации этой уязвимости аутентифицированный злоумышленник способен запустить специально разработанное приложение.

Решение

Обновление безопасности устраняет уязвимость, корректируя процесс инициализации объектов в памяти в системе Remote Procedure Call.

Часто задаваемые вопросы (FAQ)

Какая информация может быть раскрыта из-за этой уязвимости?

Типом информации, который может быть раскрыт при успешной эксплуатации уязвимости, является неинициализированная память.

Обновления

Продукт	Статья	Обновление
Windows Server 2008 for Itanium-Based Systems Service Pack 2	4467706 4467700	Monthly Rollup Security Only
Windows Server 2008 for 32-bit Systems Service Pack 2	4467706 4467700	Monthly Rollup Security Only
Windows Server 2008 for x64-based Systems Service Pack 2	4467706 4467700	Monthly Rollup Security Only
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)	4467706 4467700	Monthly Rollup Security Only
Windows 7 for 32-bit Systems Service Pack 1	4467107 4467106	Monthly Rollup Security Only
Windows 7 for x64-based Systems Service Pack 1	4467107 4467106	Monthly Rollup Security Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)	4467107 4467106	Monthly Rollup Security Only
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1	4467107 4467106	Monthly Rollup Security Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1	4467107 4467106	Monthly Rollup Security Only
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)	4467706 4467700	Monthly Rollup Security Only

Показывать по

Возможность эксплуатации

Publicly Disclosed

Exploited

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 71%

0.00704

Низкий

3.3 Low

CVSS3

Связанные уязвимости

CVE-2018-8407

CVSS3: 5.5

nvd

больше 6 лет назад

An information disclosure vulnerability exists when "Kernel Remote Procedure Call Provider" driver improperly initializes objects in memory, aka "MSRPC Information Disclosure Vulnerability." This affects Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, Windows 10 Servers.

GHSA-xwcj-h7v7-f6r9