Microsoft Office Web Components többszörös sérülékenység

CH azonosító

CH-2328

Felfedezés dátuma

2009.07.12.

Súlyosság

Magas

Érintett rendszerek

BizTalk Server
ISA Server
Microsoft
Office 2003
Office Business Accounting
Office XP
Visual Studio .NET

Érintett verziók

Microsoft Office Business Accounting 2006
Microsoft ISA Server 2004 SP3, 2006 SP1
Microsoft Office XP SP3
Microsoft Office 2003 SP3
Microsoft BizTalk Server 2002
Microsoft Visual Studio .NET 2003 SP1

Összefoglaló

A Microsoft Office Web Components több sérülékenységét jelentették, amelyeket kihasználva támadók feltörhetik a felhasználó rendszerét.

Leírás

A Microsoft Office Web Components több sérülékenységét jelentették, amelyeket kihasználva támadók feltörhetik a felhasználó rendszerét.

  1. Az OWC10.Spreadsheet ActiveX vezérlő egy hibáját kihasználva megváltoztatható a memória tartalma az “msDataSourceObject()” eljárásnak küldött, különlegesen kialakított paraméterekkel.

    A Microsoft nyilatkozata szerint, a sérülékenységet jelenleg is kihasználják.
  2. Az OWC10 ActiveX vezérlő betöltésekor és leállításakor fellépő hibát kihasználva megváltoztatható a memória tartalma.
  3. Az OWC10.Spreadsheet ActiveX vezérlő “BorderAround()” eljárással kapcsolatos hibáját kihasználva a futási időben dinamikusan kezelt memória terület (halom) tartalma megváltoztatható, ha egyes eljárásokat megadott sorrendben hívnak meg.
  4. Az Office Web Components ActiveX vezérlő egy hibáját kihasználva puffer túlcsordulás okozható.

A sebezhetőségek sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

Megoldás

Telepítse a javítócsomagokat

Hivatkozások

CVE-2009-0562 - NVD CVE-2009-0562
SECUNIA 35800
US-CERT 545228
Gyártói referencia: www.microsoft.com
Gyártói referencia: www.microsoft.com
Gyártói referencia: support.microsoft.com
Gyártói referencia: blogs.technet.com
CVE-2009-1136 - NVD CVE-2009-1136
CVE-2009-1534 - NVD CVE-2009-1534
CVE-2009-2496 - NVD CVE-2009-2496


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »