Security Lab

Множественные уязвимости в Microsoft Office Excel

Дата публикации:13.11.2012
Всего просмотров:2282
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:4
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
CVE ID: CVE-2012-1885
CVE-2012-1886
CVE-2012-1887
CVE-2012-2543
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Excel 2003
Microsoft Excel 2010
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2007
Microsoft Office 2008 for Mac
Microsoft Office 2010
Microsoft Office Excel 2007
Microsoft Office Excel Viewer 2007
Microsoft Office for Mac 2011
Уязвимые версии:
Microsoft Office 2003
Microsoft Office 2007
Microsoft Office 2010
Microsoft Office 2008 for Mac
Microsoft Office 2011 for Mac

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке "SerAuxErrBar" записи. Удаленный пользователь может с помощью специально сформированного файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может с помощью специально сформированного файла вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки использования после освобождения при обработке "SST" записей. Удаленный пользователь может с помощью специально сформированного файла выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки при обработке определенных структур данных. Удаленный пользователь может с помощью специально сформированного файла вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе.

URL производителя: www.microsoft.com

Решение: Установите исправление сайта производителя.

Ссылки: MS12-076: Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2720184)

http://technet.microsoft.com/en-us/security/bulletin/ms12-076