CVE-2020-1256

Опубликовано: 08 сент. 2020

Источник: msrc

CVSS3: 5.5

EPSS Средний

Уязвимость утечки информации в Windows GDI из-за неправомерного раскрытия содержимого в памяти компонента GDI

Описание

Злоумышленник, успешно воспользовавшийся уязвимостью, способен получить информацию для дальнейшей компрометации системы пользователя.

Условия эксплуатации

Существует несколько методов эксплуатации уязвимости злоумышленником. Это может быть сделано, например, убедив пользователя открыть специально подготовленный документ или посетить ненадежную веб-страницу.

Решение

Обновление безопасности устраняет уязвимость, корректируя обработку объектами памяти компонентом Windows GDI.

Часто задаваемые вопросы (FAQ)

Какой тип информации может быть раскрыт из-за этой уязвимости?

Тип информации, который может быть раскрыт в результате успешной эксплуатации уязвимости, связан с конфигурацией памяти. Уязвимость позволяет злоумышленнику собирать информацию, которая облегчает предсказание адресов памяти.

Обновления

Продукт	Статья	Обновление
Windows 7 for 32-bit Systems Service Pack 1	4577051 4577053	Monthly Rollup Security Only
Windows 7 for x64-based Systems Service Pack 1	4577051 4577053	Monthly Rollup Security Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)	4577051 4577053	Monthly Rollup Security Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1	4577051 4577053	Monthly Rollup Security Only
Windows Server 2012	4577038 4577048	Monthly Rollup Security Only
Windows Server 2012 (Server Core installation)	4577038 4577048	Monthly Rollup Security Only
Windows 8.1 for 32-bit systems	4577066 4577071	Monthly Rollup Security Only
Windows 8.1 for x64-based systems	4577066 4577071	Monthly Rollup Security Only
Windows Server 2012 R2	4577066 4577071	Monthly Rollup Security Only
Windows RT 8.1	4577066	-

Показывать по

Возможность эксплуатации

Publicly Disclosed

Exploited

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 94%

0.158

Средний

5.5 Medium

CVSS3

Связанные уязвимости

CVE-2020-1256

CVSS3: 5.5

nvd

почти 5 лет назад

An information disclosure vulnerability exists when the Windows GDI component improperly discloses the contents of its memory. An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system. There are multiple ways an attacker could exploit the vulnerability, such as by convincing a user to open a specially crafted document, or by convincing a user to visit an untrusted webpage. The security update addresses the vulnerability by correcting how the Windows GDI component handles objects in memory.

GHSA-8j65-rwm6-rvmf

CVSS3: 5.5

github

около 3 лет назад

An information disclosure vulnerability exists when the Windows GDI component improperly discloses the contents of its memory, aka 'Windows GDI Information Disclosure Vulnerability'.

BDU:2020-04432

CVSS3: 6.5

fstec

почти 5 лет назад

Уязвимость компонента Windows GDI операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 94%

0.158

Средний

5.5 Medium

CVSS3