Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2020-0908

Опубликовано: 08 сент. 2020
Источник: msrc
CVSS3: 7.5
EPSS Низкий

Уязвимость удаленного выполнения кода в Windows Text Service Module из-за некорректной обработки памяти

Описание

Злоумышленник, который успешно воспользовался этой уязвимостью, способен выполнять код на системе жертвы.

Условия эксплуатации

Злоумышленник может разместить специально подготовленный веб-сайт, который предназначен для эксплуатации уязвимости через Microsoft Edge (на базе Chromium), и затем убедить пользователя посетить этот сайт. Злоумышленник также способен воспользоваться скомпрометированными сайтами и сайтами, которые принимают или размещают пользовательский контент или рекламу, добавив туда специально подготовленный контент, эксплуатировавший уязвимость. Во всех случаях злоумышленник не может принудительно вынудить пользователя просматривать контент, контролируемый злоумышленником. Вместо этого он обязан убедить пользователя предпринять действия, например, через предложение в электронном письме или сообщении в мессенджере, либо заставив его открыть вложение, отправленное через электронную почту.

Решение

Обновление безопасности решает проблему, исправляя обработку памяти в Windows Text Service Module.

Обновления

ПродуктСтатьяОбновление
Windows Server 2016
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows Server 2016 (Server Core installation)
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1809 for 32-bit Systems

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 89%
0.05083
Низкий

7.5 High

CVSS3

Связанные уязвимости

CVSS3: 7.5
nvd
почти 5 лет назад

<p>A remote code execution vulnerability exists when the Windows Text Service Module improperly handles memory. An attacker who successfully exploited the vulnerability could gain execution on a victim system.</p> <p>An attacker could host a specially crafted website that is designed to exploit the vulnerability through Microsoft Edge (Chromium-based), and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements by adding specially crafted content that could exploit the vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by way of enticement in an email or Instant Messenger message, or by getting them to open an attachment sent through email.</p> <p>The security update addresses the vulnerability by correcting how the Win

CVSS3: 7.5
github
около 3 лет назад

A remote code execution vulnerability exists when the Windows Text Service Module improperly handles memory, aka 'Windows Text Service Module Remote Code Execution Vulnerability'.

CVSS3: 7.5
fstec
почти 5 лет назад

Уязвимость компонента Windows Text Service Module операционных систем Windows, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 89%
0.05083
Низкий

7.5 High

CVSS3