Érintett rendszerek
Compatibility Pack for Office 2007 File FormatsExcel
Excel Viewer
Microsoft
Office 2000
Office 2003
Office 2004 for Mac
Office 2007
Office 2008 for Mac
Office SharePoint Server 2007
Office XP
Érintett verziók
Microsoft Office SharePoint Server 2007 32-bit, SP1, x64, x64 SP1
Microsoft Office 2008 for Mac
Microsoft Office 2004 for Mac
Microsoft Excel 2000, 2002, 2003, 2007
Microsoft Office 2000 SP3
Microsoft Office XP SP3
Microsoft Office 2003 SP3
Microsoft Office 2007 , SP1
Microsoft Excel Viewer , 2003, 2007
Microsoft Compatibility Pack for Office 2007 File Formats , SP1
Összefoglaló
A Microsoft Excel többszörös sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók érzékeny információhoz juthatnak vagy feltörhetik a felhasználó rendszerét.
Leírás
A Microsoft Excel többszörös sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók érzékeny információkhoz juthatnak vagy feltörhetik a felhasználó rendszerét.
- Az “AxesSet” mezők index értékei nincsenek megfelelően érvényesítve, az Excel fájl memóriába töltődésekor. Ez kihasználható a memória tartalmának megváltoztatására, egy speciálisan erre a célra készített Excel fájlon keresztül.
A sérülékenység sikeres kihasználása esetén tetszőleges kód futtatása lehetséges. - Egy hiba a “FORMAT” mezők értékeinek feldolgozásában, az Excel fájl memóriába töltődésekor, kihasználható a memória tartalmának megváltoztatására, egy speciálisan erre a célra készített Excel fájlon keresztül.
A sérülékenység sikeres kihasználása esetén tetszőleges kód futtatása lehetséges. - Egy hiba a Country (0x8c) mező értékeinek elemzésében, az Excel fájl memóriába töltődésekor, kihasználható a memória tartalmának megváltoztatására, egy speciálisan erre a célra készített Excel fájlon keresztül.
A sérülékenység sikeres kihasználása esetén tetszőleges kód futtatása lehetséges. - A távoli adat forrásokhoz tartozó jelszó stringek nincsek megfelelően törölve, akkor sem ha a tanúsítványokat nem tárolják. Ezt kihasználva védett távoli adatforrásokhoz lehet hozzáférni egy “.xlsx” fájl megnyitásával.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2008-3006 - NVD CVE-2008-3006
CVE-2008-3004 - NVD CVE-2008-3004
SECUNIA 31454
CVE-2008-3003 - NVD CVE-2008-3003
Gyártói referencia: www.microsoft.com
CVE-2008-3005 - NVD CVE-2008-3005