CH azonosító
CH-7013Angol cím
Microsoft Lync / Office Communicator Multiple VulnerabilitiesFelfedezés dátuma
2012.06.11.Súlyosság
MagasÉrintett rendszerek
Lync 2010Microsoft
Office Communicator 2007
Érintett verziók
Microsoft Lync 2010
Microsoft Office Communicator 2007
Összefoglaló
A Microsoft Lync és az Office Communicator sérülékenységeit jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására és a felhasználó rendszerének feltörésére.
Leírás
- Egy hiba a TrueType karakterkészletek feldolgozásával kapcsolatos, amelyről részletes információ az alábbi hivatkozáson található:
CERT-Hungary CH-5898 - A t2embed.dll modulban hibát okoz a TrueType karakterkészletek feldolgozása, amelyről további információ az alábbi hivatkozás 2. pontja alatt található:
CERT-Hungary CH-6815 - A kliens nem megbízható módon tölti be a könyvtárakat ( például a wlanapi.dll és az ncrypt.dll), ami kihasználható tetszőleges könyvtár betöltésére, ha a megtévesztett felhasználó megnyit egy távoli WebDAV vagy SMB megosztáson elérhető “.ocsmeet” fájlt.
A sérülékenység sikeres kihasználása tetszőleges kód lefuttatását teszi lehetővé. - Egy nem részletezett hiba lép fel, amikor a “SafeHTML” API elemzi a HTML kódot. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó chat munkamenetében.
Ez a sérülékenység az alábbi hivatkozás 2. pontja alatt leírt sérülékenységgel kapcsolatos:
CERT-Hungary CH-7012
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: technet.microsoft.com
SECUNIA 48429
CERT-Hungary CH-5898
CERT-Hungary CH-6815
CERT-Hungary CH-7012
CVE-2011-3402 - NVD CVE-2011-3402
CVE-2012-0159 - NVD CVE-2012-0159
CVE-2012-1849 - NVD CVE-2012-1849
CVE-2012-1858 - NVD CVE-2012-1858