Microsoft Office Web Components többszörös sérülékenység

CH azonosító

CH-2328

Felfedezés dátuma

2009.07.12.

Súlyosság

Magas

Érintett rendszerek

BizTalk Server
ISA Server
Microsoft
Office 2003
Office Business Accounting
Office XP
Visual Studio .NET

Érintett verziók

Microsoft Office Business Accounting 2006
Microsoft ISA Server 2004 SP3, 2006 SP1
Microsoft Office XP SP3
Microsoft Office 2003 SP3
Microsoft BizTalk Server 2002
Microsoft Visual Studio .NET 2003 SP1

Összefoglaló

A Microsoft Office Web Components több sérülékenységét jelentették, amelyeket kihasználva támadók feltörhetik a felhasználó rendszerét.

Leírás

A Microsoft Office Web Components több sérülékenységét jelentették, amelyeket kihasználva támadók feltörhetik a felhasználó rendszerét.

  1. Az OWC10.Spreadsheet ActiveX vezérlő egy hibáját kihasználva megváltoztatható a memória tartalma az “msDataSourceObject()” eljárásnak küldött, különlegesen kialakított paraméterekkel.

    A Microsoft nyilatkozata szerint, a sérülékenységet jelenleg is kihasználják.
  2. Az OWC10 ActiveX vezérlő betöltésekor és leállításakor fellépő hibát kihasználva megváltoztatható a memória tartalma.
  3. Az OWC10.Spreadsheet ActiveX vezérlő “BorderAround()” eljárással kapcsolatos hibáját kihasználva a futási időben dinamikusan kezelt memória terület (halom) tartalma megváltoztatható, ha egyes eljárásokat megadott sorrendben hívnak meg.
  4. Az Office Web Components ActiveX vezérlő egy hibáját kihasználva puffer túlcsordulás okozható.

A sebezhetőségek sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
CVE-2025-4664 – Google Chromium Loader Insufficient Policy Enforcement sérülékenysége
Tovább a sérülékenységekhez »