Microsoft Windows WEBP VP8X Tam Sayı Taşması Uzaktan Kod Yürütme Güvenlik Açığı

CVE IDCVE-2020-1574
CVSS SKOR8.8, (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
ETKİLENEN ÜRETİCİMicrosoft
ETKİLENEN ÜRÜNWindows
ZAFİYET DETAY
Bu güvenlik açığı, uzaktaki saldırganların etkilenen Microsoft Windows yüklemelerinde rastgele kod yürütmesine olanak tanır. Hedefin kötü amaçlı bir sayfayı ziyaret etmesi veya kötü amaçlı bir dosyayı açması gerektiğinden, bu güvenlik açığından yararlanmak için kullanıcı etkileşimi gereklidir. Belirli bir kusur WEBP görüntülerinin işlenmesinde mevcuttur. Hazırlanmış bir VP8X parçası, belleğe yazmadan önce bir tam sayı taşmasını tetikleyebilir. Saldırgan, mevcut kullanıcı bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
EK DETAYMicrosoft bu güvenlik açığını gidermek için bir güncelleme yayınladı. Daha fazla ayrıntı şu adreste bulunabilir:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1574
BİLDİRİM TARİHİ VE AKSİYONLAR2020-03-09 – Üreticiye mevcut bildirilen güvenlik açığı.
2020-08-13 – Üretici oluşan zafiyeti duyurma zamanı.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!