Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2019-0985

Опубликовано: 11 июн. 2019
Источник: msrc
CVSS3: 7.8
EPSS Средний

Уязвимость удаленного выполнения кода в Microsoft Speech API из-за некорректной обработки текста на речь во время ввода

Описание

Уязвимость возникает, когда Microsoft Speech API (SAPI) некорректно обрабатывает входные данные текст-в-речь (TTS). Эта уязвимость способна повредить память, что позволяет злоумышленнику выполнить произвольный код с правами текущего пользователя.

Условия эксплуатации

Чтобы воспользоваться уязвимостью, злоумышленник должен убедить пользователя открыть специально созданный документ с содержимым TTS, который запускается через скриптовый язык.

Решение

Обновление исправляет уязвимость, изменяя способ, которым система обрабатывает объекты в памяти.

Обновления

ПродуктСтатьяОбновление
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

N/A

Older Software Release

Exploitation More Likely

DOS

N/A

EPSS

Процентиль: 94%
0.14521
Средний

7.8 High

CVSS3

Связанные уязвимости

CVSS3: 7.8
nvd
около 6 лет назад

A remote code execution vulnerability exists when the Microsoft Speech API (SAPI) improperly handles text-to-speech (TTS) input. The vulnerability could corrupt memory in a way that enables an attacker to execute arbitrary code in the context of the current user. To exploit the vulnerability, an attacker would need to convince a user to open a specially crafted document containing TTS content invoked through a scripting language. The update address the vulnerability by modifying how the system handles objects in memory.

CVSS3: 7.8
github
около 3 лет назад

A remote code execution vulnerability exists when the Microsoft Speech API (SAPI) improperly handles text-to-speech (TTS) input, aka 'Microsoft Speech API Remote Code Execution Vulnerability'.

CVSS3: 7.8
fstec
около 6 лет назад

Уязвимость программного интерфейса для распознавания и синтеза речи Speech API операционных систем Windows, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 94%
0.14521
Средний

7.8 High

CVSS3