CVE-2018-8634

Опубликовано: 11 дек. 2018

Источник: msrc

CVSS3: 4.2

EPSS Средний

Уязвимость удаленного выполнения кода в Windows из-за некорректной обработки объектов в памяти функцией распознавания речи Microsoft

Описание

Злоумышленник, успешно использовавший эту уязвимость, способен взять под контроль систему. Он может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи настроены с меньшими пользовательскими правами, могут быть менее подвержены риску по сравнению с пользователями, работающими с правами администратора.

Условия эксплуатации

Для успешного использования уязвимости злоумышленник должен иметь возможность запустить соответствующее ПО, используя функцию распознавания речи, которая взаимодействует с некорректно обрабатываемыми объектами в памяти.

Решение

Обновление безопасности устраняет уязвимость, исправляя способ, которым функция распознавания речи Microsoft обрабатывает объекты в памяти.

Обновления

Продукт	Статья	Обновление
Windows 10 for 32-bit Systems	4471323	Security Update
Windows 10 for x64-based Systems	4471323	Security Update
Windows Server 2016	4471321	Security Update
Windows 10 Version 1607 for 32-bit Systems	4471321	Security Update
Windows 10 Version 1607 for x64-based Systems	4471321	Security Update
Windows Server 2016 (Server Core installation)	4471321	Security Update
Windows 10 Version 1703 for 32-bit Systems	4471327	Security Update
Windows 10 Version 1703 for x64-based Systems	4471327	Security Update
Windows 10 Version 1709 for 32-bit Systems	4471329	Security Update
Windows 10 Version 1709 for x64-based Systems	4471329	Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

Exploited

Latest Software Release

Exploitation More Likely

Older Software Release

Exploitation More Likely

EPSS

Процентиль: 97%

0.32912

Средний

4.2 Medium

CVSS3

Связанные уязвимости

CVE-2018-8634

CVSS3: 8.8

nvd

больше 6 лет назад

A remote code execution vulnerability exists in Windows where Microsoft text-to-speech fails to properly handle objects in the memory, aka "Microsoft Text-To-Speech Remote Code Execution Vulnerability." This affects Windows Server 2016, Windows 10, Windows Server 2019, Windows 10 Servers.

GHSA-hv2g-m5p7-x4pm

CVSS3: 8.8

github

около 3 лет назад

BDU:2018-01641