Popis
V systému Microsoft Windows bylo nalezeno několik závažných chyb. Uživatelé se zlými úmysly mohou tuto chybu zabezpečení zneužít k získání oprávnění, způsobení odmítnutí služby, získání citlivých informací, obejitím bezpečnostních omezení a spouštění libovolného kódu.
Níže je uveden kompletní seznam chyb zabezpečení:
- Nesprávné zacházení s objekty v paměti v grafickém rozhraní systému Windows (GDI) lze místně využít k získání citlivých informací;
- Více zranitelností v jádře systému Windows lze využít místně pomocí spuštěné speciálně vyvinuté aplikace pro získání citlivých informací;
- Zranitelnost poškození paměti v prohlížečích společnosti Microsoft může být vzdáleně využívána prostřednictvím speciálně vytvořené webové stránky k provedení libovolného kódu;
- Nesprávné ověření úrovně integrity v úložišti systému Microsoft Windows lze místně využít k vynechání bezpečnostních omezení;
- Nesprávná manipulace s vloženými písmy v knihovně písem Microsoft lze vzdáleně využívat prostřednictvím speciálně navrženého webu (scénář útoku na webu) nebo dokumentu (scénář útoku sdílení souborů) k provedení libovolného kódu;
- Nesprávná manipulace s procesem načítání knihovny DLL v určitých součástech systému Windows lze místně využít k provedení libovolného kódu;
- Vícenásobné zranitelnosti poškození paměti v systému Windows Search lze využít vzdáleně odesláním speciálně navržených zpráv pro získání citlivých informací nebo spuštění libovolného kódu;
- Nesprávné zacházení s odpověďmi DNS v systému Windows Domain Name System (DNS) může být vzdáleně využíváno odesláním poškozené odpovědi DNS k cíli, aby bylo možné spustit libovolný kód;
- Více chyb zabezpečení serveru serveru Microsoft Server Message Block lze vzdáleně využívat odesláním speciálně navrženého paketu hostiteli k provedení libovolného kódu, způsobení odmítnutí služby, získání citlivých informací nebo získání oprávnění;
- Nesprávná manipulace s volání Advanced Local Procedure v systému Microsoft Windows může být místně využívána spuštěním speciálně navržené aplikace pro získání oprávnění;
- Nespecifikovaná chyba zabezpečení ve službě Device Guard může být zneužita místně pomocí injekčního útoku škodlivého kódu do skriptu, který je důvěryhodný v zásadě Integrita kódu, aby obcházel bezpečnostní omezení;
- Více zranitelností v komponentě Windows Graphics je možné využít místně prostřednictvím speciálně vytvořené aplikace, abyste získali oprávnění nebo získali citlivé informace.
- Nesprávné vynucení oprávnění ke sdílení souborů v Optimalizaci doručování služby Windows Update lze lokálně využít pomocí vytvoření speciálně konfigurované úlohy Optimalizace doručování, aby bylo možné získat oprávnění.
- Nesprávná manipulace s objekty v paměti v ovladači režimu jádra systému Windows může být místně využívána prostřednictvím speciálně vyvinuté aplikace k získání oprávnění;
- Nesprávná manipulace s objekty v paměti v systému Windows Subsystem for Linux může být místně využívána prostřednictvím speciálně navržené aplikace, která způsobí odmítnutí služby;
- Chyba zabezpečení přetečení vyrovnávací paměti v databázovém nástroji Microsoft JET lze využít prostřednictvím speciálně vytvořeného souboru aplikace Excel pro spuštění libovolného kódu;
- Nesprávné přístupné objekty v paměti v systému Microsoft Windows Text Services Framework lze vzdáleně využívat prostřednictvím speciálně vytvořené webové stránky k provedení libovolného kódu.
Technické údaje
Poznámka: Ne každá zranitelnost již má hodnocení CVSS, takže kumulativní hodnocení CVSS nemusí být reprezentativní.
Poznámka: V tuto chvíli společnost Microsoft právě rezervovala čísla CVE pro tyto chyby zabezpečení. Informace lze brzy změnit.
Oficiální doporučení
- ADV170014
- CVE-2017-11762
- CVE-2017-11763
- CVE-2017-11765
- CVE-2017-11769
- CVE-2017-11771
- CVE-2017-11772
- CVE-2017-11779
- CVE-2017-11780
- CVE-2017-11781
- CVE-2017-11782
- CVE-2017-11783
- CVE-2017-11784
- CVE-2017-11785
- CVE-2017-11814
- CVE-2017-11815
- CVE-2017-11816
- CVE-2017-11817
- CVE-2017-11818
- CVE-2017-11819
- CVE-2017-11823
- CVE-2017-11824
- CVE-2017-11829
- CVE-2017-8689
- CVE-2017-8693
- CVE-2017-8694
- CVE-2017-8703
- CVE-2017-8715
- CVE-2017-8717
- CVE-2017-8718
- CVE-2017-8727
seznam CVE
seznam KB
- 4041679
- 4042122
- 4042123
- 4042120
- 4042121
- 4041995
- 4042895
- 4041681
- 4041687
- 4042007
- 4041689
- 4042067
- 4038793
- 4041944
- 4041691
- 4041690
- 4041693
- 4041678
- 4041676
- 4041671
- 4050795
- 4023490
- 4048955
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com
Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!