Выполнение произвольного кода в Microsoft Office Excel

Дата публикации:15.12.2015
Всего просмотров:3745
Опасность:
Высокая
Наличие исправления: Нет
Количество уязвимостей:1
CVSSv2 рейтинг: 9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:P/RL:U/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Excel 2010
Microsoft Office Excel 2007
Microsoft Excel 2013
Уязвимые версии: Microsoft Office Excel 2007
Microsoft Office Excel 2010
Microsoft Office Excel 2013
Описание:

Уязвимость позволяет удаленному пользователю скомпрометировать систему.

Уязвимость существует из-за ошибки использования после высвобождения при обработке файлов XLSB. Удаленный пользователь может с помощью специально сформированного файла XLSB выполнить произвольный код на целевой системе.

Примечание: Успешная эксплуатация уязвимости требует, чтобы пользователь загрузил и запустил вредоносный файл.

URL производителя: http://microsoft.com
Решение: Производитель не планирует выпускать исправление.
Эксплоит: Microsoft Excel: Proof of Concept for ZDI-15-639

http://sourceincite.com/2015/12/15/microsoft-office-excel-users-vulnerable-to-zdi-15-639-a-remote-code-execution-zeroday/
http://www.zerodayinitiative.com/advisories/ZDI-15-639/
Журнал изменений: a:2:{s:4:"TEXT";s:36:"15.12.2015: Изменена метрика CVSSv2.";s:4:"TYPE";s:4:"text";}