Microsoft Windows, Outlook és Exchange sérülékenységek


2006. január 9. 23:00

CH azonosító

CH-45

Felfedezés dátuma

2006.01.09.

Súlyosság

Magas

Érintett rendszerek

Exchange Server 2003
Microsoft
Office 2000
Office 2003
Office XP
Outlook
Windows 2000
Windows 98
Windows Millenium
Windows Server 2003
Windows XP

Érintett verziók

Microsoft Windows XP SP1, SP2, x64
Microsoft Windows 2000 SP4
Microsoft Office 2003 SP1, SP2 Multilingual User Interface Packs
Microsoft Office XP SP3 Multilingual User Interface Packs
Microsoft Office 2000 SP3 Multilanguage Packs
Microsoft Exchange Server 2000 SP3
Microsoft Exchange Server 5.0 SP2, 5.5 SP4
Microsoft Windows Server 2003 32-bit, SP1, Itanium, Itanium SP1, x64
Microsoft Windows 98 , SE
Microsoft Windows Millenium
Microsoft Outlook

Összefoglaló

A Microsoft megjelentette frissítését a Windows, Outlook és az Exchange kritikus sérülékenységei miatt. Ezeknek a sérülékenységeknek a kiaknázása lehetővé teszi, hogy a távoli, jogosulatlan támadó a sérült rendszeren tetszőleges kódot futtasson le vagy szolgáltatás megtagadást okozzon.

Leírás

A Microsoft megjelentette frissítését a Windows, Outlook és az Exchange kritikus sérülékenységei miatt. Ezeknek a sérülékenységeknek a kiaknázása lehetővé teszi, hogy a távoli, jogosulatlan támadó a sérült rendszeren tetszőleges kódot futtasson le vagy szolgáltatás megtagadást okozzon.

  1. A Windows Metafile képformátum kezelésében lévő hibáját kihasználva távolról tetszőleges kód futtatható. A sebezhetőségét kihasználását lehetővé tevő kód szabadon elérhető. Ezzel frissített Windows XP SP2-es rendszereket is sikeresen lehet támadni, de más rendszerek is érintettek lehetnek.
  2. Egy halom túlcsordulása a Microsoft Windows beágyazott web font feldolgozásában lehetővé teszi, hogy egy távoli, jogosulatlan támadó a sebezhető rendszeren tetszőleges kódot futtasson le.
  3. A Microsoft Outlook és Microsoft Exchange TNEF csatolmányok feldolgozásakor jelentkező puffer túlcsordulásos sebezhetősége lehetővé teszi, hogy a távoli, jogosulatlan támadó tetszőleges kódot futtasson le a sebezhető szoftvert futtató rendszeren.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2005-4560 - NVD CVE-2005-4560
Gyártói referencia: www.microsoft.com
US-CERT 915930
CVE-2006-0002 - NVD CVE-2006-0002
CVE-2006-0010 - NVD CVE-2006-0010
US-CERT 181038
US-CERT 252146

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4322 – WordPress sérülékenység
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
CVE-2025-20271 – Cisco AnyConnect VPN sérülékenység
CVE-2025-43200 – Apple Multiple Products Unspecified sérülékenysége
CVE-2023-0386 – Linux Kernel Improper Ownership Management sebezhetősége
CVE-2023-33538 – TP-Link Multiple Routers Command Injection sérülékenysége
CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége
CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége
Tovább a sérülékenységekhez »