Security Lab

Множественные уязвимости в Microsoft Word

Дата публикации:11.08.2010
Всего просмотров:2114
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:3
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Word 2002
Microsoft Word 2003
Microsoft Office Word 2007
Microsoft Office XP
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2007
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
Microsoft Office Word Viewer
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac
Microsoft Open XML File Format Converter for Mac
Уязвимые версии:
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac
Open XML File Format Converter for Mac
Microsoft Office Word Viewer
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 2

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке записей внутри Word файла. Удаленный пользователь может с помощью специально сформированного документа Word вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки при обработке rich text данных. Удаленный пользователь может с помощью специально сформированного RTF файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки при обработке некоторых объектов в RTF файлах. Удаленный пользователь может с помощью специально сформированного RTF файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Microsoft Office XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=978eb887-25b6-4dde-a2ec-d2d1e7f1a434

Microsoft Office 2003 Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=4360bcec-0731-4d4a-89eb-7d28a4607f06

2007 Microsoft Office System Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=0d7210a3-662e-41e7-affc-ae94f9d89388

Microsoft Office 2004 for Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d2f44d4a-7cd8-4514-b3ff-1770bc47d595

Microsoft Office 2008 for Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyID=6ece112f-0ca7-4b1f-ad20-603950edee66

Open XML File Format Converter for Mac:
http://www.microsoft.com/downloads/details.aspx?FamilyID=a7b834a3-5a44-42d4-afe9-6ef207333834

Microsoft Office Word Viewer:
http://www.microsoft.com/downloads/details.aspx?familyid=39fe2229-9201-4270-bdc1-20bc8e30a766

Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=ed5b9671-651d-41f3-aed3-93ee8a28657f

Ссылки: MS10-056: Vulnerabilities in Microsoft Office Word Could Allow Remote Code Execution (2269638)
iDefense Security Advisory 08.10.10: Microsoft Word RTF File Parsing Heap Buffer Overflow Vulnerability