Microsoft Windows, Outlook és Exchange sérülékenységek


2006. január 9. 23:00

CH azonosító

CH-45

Felfedezés dátuma

2006.01.09.

Súlyosság

Magas

Érintett rendszerek

Exchange Server 2003
Microsoft
Office 2000
Office 2003
Office XP
Outlook
Windows 2000
Windows 98
Windows Millenium
Windows Server 2003
Windows XP

Érintett verziók

Microsoft Windows XP SP1, SP2, x64
Microsoft Windows 2000 SP4
Microsoft Office 2003 SP1, SP2 Multilingual User Interface Packs
Microsoft Office XP SP3 Multilingual User Interface Packs
Microsoft Office 2000 SP3 Multilanguage Packs
Microsoft Exchange Server 2000 SP3
Microsoft Exchange Server 5.0 SP2, 5.5 SP4
Microsoft Windows Server 2003 32-bit, SP1, Itanium, Itanium SP1, x64
Microsoft Windows 98 , SE
Microsoft Windows Millenium
Microsoft Outlook

Összefoglaló

A Microsoft megjelentette frissítését a Windows, Outlook és az Exchange kritikus sérülékenységei miatt. Ezeknek a sérülékenységeknek a kiaknázása lehetővé teszi, hogy a távoli, jogosulatlan támadó a sérült rendszeren tetszőleges kódot futtasson le vagy szolgáltatás megtagadást okozzon.

Leírás

A Microsoft megjelentette frissítését a Windows, Outlook és az Exchange kritikus sérülékenységei miatt. Ezeknek a sérülékenységeknek a kiaknázása lehetővé teszi, hogy a távoli, jogosulatlan támadó a sérült rendszeren tetszőleges kódot futtasson le vagy szolgáltatás megtagadást okozzon.

  1. A Windows Metafile képformátum kezelésében lévő hibáját kihasználva távolról tetszőleges kód futtatható. A sebezhetőségét kihasználását lehetővé tevő kód szabadon elérhető. Ezzel frissített Windows XP SP2-es rendszereket is sikeresen lehet támadni, de más rendszerek is érintettek lehetnek.
  2. Egy halom túlcsordulása a Microsoft Windows beágyazott web font feldolgozásában lehetővé teszi, hogy egy távoli, jogosulatlan támadó a sebezhető rendszeren tetszőleges kódot futtasson le.
  3. A Microsoft Outlook és Microsoft Exchange TNEF csatolmányok feldolgozásakor jelentkező puffer túlcsordulásos sebezhetősége lehetővé teszi, hogy a távoli, jogosulatlan támadó tetszőleges kódot futtasson le a sebezhető szoftvert futtató rendszeren.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2005-4560 - NVD CVE-2005-4560
Gyártói referencia: www.microsoft.com
US-CERT 915930
CVE-2006-0002 - NVD CVE-2006-0002
CVE-2006-0010 - NVD CVE-2006-0010
US-CERT 181038
US-CERT 252146

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
CVE-2025-30377 – Microsoft Office Remote Code Execution sebezhetősége
CVE-2024-57726 – SimpleHelp sebezhetősége
CVE-2024-57728 – SimpleHelp sebezhetősége
CVE-2025-20114 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20113 – Cisco Unified Intelligence Center Privilege Escalation sebezhetősége
CVE-2025-20152 – Cisco Identity Services Engine RADIUS Denial of Service sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
Tovább a sérülékenységekhez »