Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2019-1318

Опубликовано: 08 окт. 2019
Источник: msrc
CVSS3: 7.7
EPSS Низкий

Уязвимость компрометации данных в Microsoft Windows из-за некорректной обработки сеансов Transport Layer Security (TLS)

Описание

Уязвимость спуфинга в Microsoft Windows возникает, когда Transport Layer Security (TLS) обрабатывает сеансы без поддержки расширенного главного секрета (Extended Master Secret, EMS).

Злоумышленник, успешно использующий эту уязвимость, способен получить доступ к неавторизованной информации.

Условия эксплуатации

Для эксплуатации уязвимости злоумышленнику необходимо провести атаку типа "человек посередине" (MITM).

Решение

Обновление устраняет уязвимость путем коррекции процедуры, с помощью которой клиент и сервер TLS устанавливают и возобновляют сеансы с узлами, не поддерживающими EMS.

Обновления

ПродуктСтатьяОбновление
Windows Server 2008 for Itanium-Based Systems Service Pack 2
45200024520009
Monthly RollupSecurity Only
Windows Server 2008 for 32-bit Systems Service Pack 2
45200024520009
Monthly RollupSecurity Only
Windows Server 2008 for x64-based Systems Service Pack 2
45200024520009
Monthly RollupSecurity Only
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
45200024520009
Monthly RollupSecurity Only
Windows 7 for 32-bit Systems Service Pack 1
45199764520003
Monthly RollupSecurity Only
Windows 7 for x64-based Systems Service Pack 1
45199764520003
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
45199764520003
Monthly RollupSecurity Only
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
45199764520003
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1
45199764520003
Monthly RollupSecurity Only
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
45200024520009
Monthly RollupSecurity Only

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 90%
0.05874
Низкий

7.7 High

CVSS3

Связанные уязвимости

nvd логотип

CVE-2019-1318

CVSS3: 5.9
nvd
больше 5 лет назад

A spoofing vulnerability exists when Transport Layer Security (TLS) accesses non- Extended Master Secret (EMS) sessions, aka 'Microsoft Windows Transport Layer Security Spoofing Vulnerability'.

github логотип

GHSA-2v8j-7w32-jrwf

github
около 3 лет назад

A spoofing vulnerability exists when Transport Layer Security (TLS) accesses non- Extended Master Secret (EMS) sessions, aka 'Microsoft Windows Transport Layer Security Spoofing Vulnerability'.

fstec логотип

BDU:2019-03686

CVSS3: 5.9
fstec
больше 5 лет назад

Уязвимость реализации протокола TLS (Transport Layer Security) операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 90%
0.05874
Низкий

7.7 High

CVSS3