Уязвимость повышенного уровня доступа в Windows COM Server из-за некорректной обработки создания COM-объектов системой Windows
Описание
Злоумышленник, успешно использующий эту уязвимость, способен запускать произвольный код с повышенным уровнем доступа.
Условия эксплуатации
Для эксплуатации этой уязвимости злоумышленник должен сначала войти в систему. Затем он способен запустить специально созданное приложение, которое может использовать уязвимость и получить контроль над затронутой системой.
Решение
Обновление устраняет уязвимость путем корректировки процесса создания COM-объектов в Windows COM Server.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) | ||
| Windows Server 2012 | ||
| Windows Server 2012 (Server Core installation) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
7.8 High
CVSS3
Связанные уязвимости
<p>An elevation of privilege vulnerability exists when Windows improperly handles COM object creation. An attacker who successfully exploited the vulnerability could run arbitrary code with elevated privileges.</p> <p>To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take control of an affected system.</p> <p>The update addresses the vulnerability by correcting how the Windows COM Server creates COM objects.</p>
An elevation of privilege vulnerability exists when Windows improperly handles COM object creation, aka 'Windows COM Server Elevation of Privilege Vulnerability'. This CVE ID is unique from CVE-2020-16935.
Уязвимость компонента Windows COM Server операционной системы Windows, позволяющая нарушителю повысить свои привилегии
EPSS
7.8 High
CVSS3