Microsoft Windows, Outlook és Exchange sérülékenységek


2006. január 9. 23:00

CH azonosító

CH-45

Felfedezés dátuma

2006.01.09.

Súlyosság

Magas

Érintett rendszerek

Exchange Server 2003
Microsoft
Office 2000
Office 2003
Office XP
Outlook
Windows 2000
Windows 98
Windows Millenium
Windows Server 2003
Windows XP

Érintett verziók

Microsoft Windows XP SP1, SP2, x64
Microsoft Windows 2000 SP4
Microsoft Office 2003 SP1, SP2 Multilingual User Interface Packs
Microsoft Office XP SP3 Multilingual User Interface Packs
Microsoft Office 2000 SP3 Multilanguage Packs
Microsoft Exchange Server 2000 SP3
Microsoft Exchange Server 5.0 SP2, 5.5 SP4
Microsoft Windows Server 2003 32-bit, SP1, Itanium, Itanium SP1, x64
Microsoft Windows 98 , SE
Microsoft Windows Millenium
Microsoft Outlook

Összefoglaló

A Microsoft megjelentette frissítését a Windows, Outlook és az Exchange kritikus sérülékenységei miatt. Ezeknek a sérülékenységeknek a kiaknázása lehetővé teszi, hogy a távoli, jogosulatlan támadó a sérült rendszeren tetszőleges kódot futtasson le vagy szolgáltatás megtagadást okozzon.

Leírás

A Microsoft megjelentette frissítését a Windows, Outlook és az Exchange kritikus sérülékenységei miatt. Ezeknek a sérülékenységeknek a kiaknázása lehetővé teszi, hogy a távoli, jogosulatlan támadó a sérült rendszeren tetszőleges kódot futtasson le vagy szolgáltatás megtagadást okozzon.

  1. A Windows Metafile képformátum kezelésében lévő hibáját kihasználva távolról tetszőleges kód futtatható. A sebezhetőségét kihasználását lehetővé tevő kód szabadon elérhető. Ezzel frissített Windows XP SP2-es rendszereket is sikeresen lehet támadni, de más rendszerek is érintettek lehetnek.
  2. Egy halom túlcsordulása a Microsoft Windows beágyazott web font feldolgozásában lehetővé teszi, hogy egy távoli, jogosulatlan támadó a sebezhető rendszeren tetszőleges kódot futtasson le.
  3. A Microsoft Outlook és Microsoft Exchange TNEF csatolmányok feldolgozásakor jelentkező puffer túlcsordulásos sebezhetősége lehetővé teszi, hogy a távoli, jogosulatlan támadó tetszőleges kódot futtasson le a sebezhető szoftvert futtató rendszeren.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2005-4560 - NVD CVE-2005-4560
Gyártói referencia: www.microsoft.com
US-CERT 915930
CVE-2006-0002 - NVD CVE-2006-0002
CVE-2006-0010 - NVD CVE-2006-0010
US-CERT 181038
US-CERT 252146

Legfrissebb sérülékenységek
CVE-2026-20700 – Apple sebezhetőség
CVE-2026-21514 – Microsoft Office Word Reliance on Untrusted Inputs in a Security Decision sérülékenység
CVE-2026-21519 – Microsoft Windows Type Confusion sérülékenység
CVE-2026-21533 – Microsoft Windows Improper Privilege Management sérülékenység
CVE-2026-21510 – Microsoft Windows Shell Protection Mechanism Failure sérülékenység
CVE-2026-21525 – Microsoft Windows NULL Pointer Dereference sérülékenység
CVE-2026-21513 – Microsoft MSHTML Framework Protection Mechanism Failure sérülékenység
CVE-2026-1340 – Ivanti Endpoint Manager Mobile sérülékenység
CVE-2025-26385 – Johnson Controls Metasys command injection sérülékenység
CVE-2026-24423 – SmarterTools SmarterMail Missing Authentication for Critical Function sérülékenység
Tovább a sérülékenységekhez »