Дата публикации: | 29.10.2002 |
Всего просмотров: | 2475 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: | Раскрытие важных данных |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
Microsoft Office XP
Microsoft Office 2000 Microsoft Office 97 |
Описание: | Поле INCLUDETEXT в Microsoft Word и Excel может использоваться для внедрения произвольных локальных файлов в документ. Если поле INCLUDETEXT включено в документ и ссылается на файл на локальной системе получателя, то файл будет также включен, когда документ отослан. Уязвимость позволяет атакующему злоупотребить этой возможностью в ситуации, когда документы постоянно разделяются и обновляются. Пример: Следующее поле в нижней сноске последней страницы документа украдет содержание c:\a.txt: { IF { INCLUDETEXT { IF { DATE } = { DATE } "c:\\a.txt" "c:\\a.txt" } \* MERGEFORMAT } = "" "" \* MERGEFORMAT }уязвимость обнаружена в Microsoft Excel 2002, Microsoft Word 97-2000 |
Ссылки: | Security side-effects of Word fields |