Microsoft Windows beágyazott OpenType betűkészlet motor sérülékenység

CH azonosító

CH-2792

Felfedezés dátuma

2010.01.12.

Súlyosság

Magas

Érintett rendszerek

Microsoft
Windows 2000
Windows 7
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP

Érintett verziók

Microsoft Windows Server 2008 x64, Itanium
Microsoft Windows 7
Microsoft Windows XP SP2 - SP3, x64 SP2
Microsoft Windows 2000 SP4
Microsoft Windows Server 2008 32-bit, SP2, x64, x64 SP2, Itanium, Itanium SP2
Microsoft Windows Server 2003 SP2, x64 SP2, Itanium SP2
Microsoft Windows Vista 32-bit, SP1 - SP2, x64, x64 SP1 - SP2

Összefoglaló

A Microsoft Windows olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók föltörhetik a felhasználó rendszerét.

Leírás

A Microsoft Windows olyan sérülékenysége vált ismertté, melyet kihasználva rosszindulatú támadók föltörhetik a felhasználó rendszerét.

A sérülékenységet egy egész szám túlcsordulási hiba okozza beágyazott OpenType (EOT) betűkészletek kicsomagolásakor.
Ezt kihasználva memória kezelési hiba okozható egy különlegesen kialakított EOT betűkészlettel, így sikeres kihasználás esetén tetszőleges kód futtatható, ha pl. a felhasználó meglátogat egy kártékony weboldalt.

Megjegyzés: A jelenlegi ismereteink szerint a sérülékenység csak Windows 2000 rendszer esetén használható ki. A Windows egyéb verziói tartalmazzák a sérülékeny kódot, de nincs ismert kihasználási lehetőség.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »