CVE-2020-1096

Microsoft Edge PDF Reader (versões afetadas não especificadas)

Microsoft Windows PDF Library (versões afetadas não especificadas)

Existe uma vulnerabilidade de execução remota de código devido ao tratamento inadequado de objetos na memória pelo Microsoft Edge PDF Reader e pela Microsoft Windows PDF Library. Isso poderia permitir que um invasor executasse código arbitrário no contexto do usuário atual, explorando a vulnerabilidade com um arquivo PDF da Microsoft especialmente criado. Se o usuário atual tiver direitos administrativos, um invasor poderia obter controle do sistema afetado, permitindo-lhe instalar programas, visualizar, alterar ou excluir dados, ou criar novas contas com direitos de usuário completos.

Para o Microsoft Edge PDF Reader, atualize para uma versão que lide adequadamente com objetos na memória para impedir a execução remota de código.

Para a Biblioteca PDF do Microsoft Windows, aplique os patches ou atualizações necessários para corrigir a vulnerabilidade de uso após liberação (Use-After-Free) do DirectWrite e impedir a execução remota de código.

Como solução alternativa temporária, considere restringir o uso do Microsoft Edge PDF Reader e da Biblioteca PDF do Microsoft Windows até que um patch esteja disponível.