VDB-125121 · CVE-2018-8486 · BID 105501

Microsoft Windows до Server 2019 DirectX раскрытие информации

CVSS Meta Temp ScoreТекущая цена эксплуатации (≈)Балл интереса CTI
5.4$0-$5k0.00

Уязвимость была найдена в Microsoft Windows и классифицирована как критический. Затронута неизвестная функция компонента DirectX. Определение CWE для уязвимости следующее CWE-200. Ошибка была обнаружена 09.10.2018. Консультация представлена на сайте portal.msrc.microsoft.com. Публичный релиз был скоординирован в сотрудничестве с поставщиком.

Эта уязвимость однозначно идентифицируется как CVE-2018-8486. Назначение CVE произошло 14.03.2018. Атака может быть осуществлена удаленно. Технические подробности отсутствуют. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1592 для этой проблемы. Консультация указывает:

An information disclosure vulnerability exists when DirectX improperly handles objects in memory. An attacker who successfully exploited this vulnerability could obtain information to further compromise the user’s system.

Объявляется Не определено. Мы ожидаем, что 0-день стоил приблизительно $25k-$100k. Сканер уязвимостей Nessus предоставляет плагин с ID 117999 (KB4462919: Windows 10 Version 1803 and Windows Server Version 1803 October 2018 Security Update), который помогает определить наличие изъяна в целевой среде. Он относится к семейству Windows : Microsoft Bulletins. Плагин работает в контексте типа l. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 91474 (Microsoft Windows Security Update October 2018).

Рекомендуется применить исправление для устранения этой проблемы.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 105501) и Tenable (117999).

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Вектор: 🔍
VulDB Надежность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.4

VulDB Базовый балл: 6.3
VulDB Временная оценка: 6.0
VulDB Вектор: 🔍
VulDB Надежность: 🔍

Поставщик Базовый балл (Microsoft): 4.7
Поставщик Vector (Microsoft): 🔍

NVD Базовый балл: 5.5
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: раскрытие информации
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Локальный: Нет
Удаленный: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогнозирование цены: 🔍
Оценка текущей цены: 🔍

0-Dayразблокироватьразблокироватьразблокироватьразблокировать
Сегодняразблокироватьразблокироватьразблокироватьразблокировать

Nessus ID: 117999
Nessus Имя: KB4462919: Windows 10 Version 1803 and Windows Server Version 1803 October 2018 Security Update
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендуется: Патч
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время эксплойта: 🔍

Временная шкалаИнформация

14.03.2018 🔍
09.10.2018 +208 дни 🔍
09.10.2018 +0 дни 🔍
09.10.2018 +0 дни 🔍
09.10.2018 +0 дни 🔍
09.10.2018 +0 дни 🔍
10.10.2018 +1 дни 🔍
10.10.2018 +0 дни 🔍
23.05.2023 +1686 дни 🔍

ИсточникиИнформация

Поставщик: microsoft.com
Продукт: microsoft.com

Консультация: portal.msrc.microsoft.com
Организация: Baidu
Статус: Подтвержденный
Подтверждение: 🔍
Скоординированный: 🔍

CVE: CVE-2018-8486 (🔍)
OVAL: 🔍

SecurityTracker: 1041823
SecurityFocus: 105501 - Microsoft Windows DirectX CVE-2018-8486 Information Disclosure Vulnerability

scip Labs: https://www.scip.ch/en/?labs.20161215
Смотрите также: 🔍

ВходИнформация

Создано: 10.10.2018 12:52
Обновлено: 23.05.2023 15:13
Изменения: 10.10.2018 12:52 (87), 01.04.2020 09:09 (6), 23.05.2023 15:13 (5)
Завершить: 🔍

Обсуждение

Комментариев пока нет. Языки: ru + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Might our Artificial Intelligence support you?

Check our Alexa App!