Уязвимость утечки информации в SymCrypt из-за некорректной обработки данных на этапе OAEP-дешифрования
Описание
Злоумышленник, успешно эксплуатировавший эту уязвимость, способен получить информацию, чтобы дополнительно скомпрометировать систему пользователя.
Условия эксплуатации
Чтобы эксплуатировать эту уязвимость, злоумышленник должен авторизоваться на уязвимой системе и запустить специально созданное приложение. Уязвимость не позволяет злоумышленнику исполнять код или повысить уровень доступа напрямую, но может быть использована для получения информации, которая позволяет пытаться дополнительно скомпрометировать уязвимую систему.
Решение
Обновление безопасности устраняет уязвимость через изменения программного обеспечения в операциях дешифрования OAEP.
Часто задаваемые вопросы (FAQ)
Какой тип информации может быть раскрыт из-за этой уязвимости?
Тип информации, который может быть раскрыт, если злоумышленнику удастся эксплуатировать эту уязвимость, включает содержимое OAEP-дешифрования. Злоумышленник может прочитать содержимое OAEP-дешифрования из процесса в пользовательском режиме.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 Version 1703 for 32-bit Systems | ||
| Windows 10 Version 1703 for x64-based Systems | ||
| Windows 10 Version 1709 for 32-bit Systems | ||
| Windows 10 Version 1709 for x64-based Systems | ||
| Windows 10 Version 1803 for 32-bit Systems | ||
| Windows 10 Version 1803 for x64-based Systems | ||
| Windows Server, version 1803 (Server Core Installation) | ||
| Windows 10 Version 1803 for ARM64-based Systems | ||
| Windows 10 Version 1809 for 32-bit Systems | ||
| Windows 10 Version 1809 for x64-based Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
5.6 Medium
CVSS3
Связанные уязвимости
An information disclosure vulnerability exists in SymCrypt during the OAEP decryption stage. An attacker who successfully exploited this vulnerability could obtain information to further compromise the user’s system. To exploit this vulnerability, an attacker would have to log on to an affected system and run a specially crafted application. The vulnerability would not allow an attacker to execute code or to elevate user rights directly, but it could be used to obtain information that could be used to try to further compromise the affected system. The update addresses the vulnerability through a software change to the OAEP decoding operations.
An information disclosure vulnerability exists in SymCrypt during the OAEP decryption stage, aka 'SymCrypt Information Disclosure Vulnerability'.
Уязвимость библиотеки SymCrypt операционной системы Windows, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
5.6 Medium
CVSS3