• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость в приложении Word, связанная с искаженными структурами данных

Главная Специалистам База уязвимостей Уязвимость в приложении Word, связанная с искаженными структурами данных

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft Office (2004 Mac, WorkSuite 2004, WorkSuite 2005, WorkSuite 2006) Microsoft Word (2000, 2000 SP3, 2002, 2002 SP3, 2003, 2003 SP2) Microsoft Word Viewer (2003)
Описание
В способе обработки приложением Microsoft Word файлов Word со специально созданной структурой данных существует уязвимость удаленного выполнения кода. Этот специально созданный файл может быть вложен в сообщение электронной почты или помещен на вредоносном веб-узле. Злоумышленник может воспользоваться этой уязвимостью, создав специальный файл Word, который делает возможным удаленное выполнение кода. Просмотр или предварительный просмотр содержащего ошибку сообщения электронной почты с помощью уязвимой версии приложения Outlook не может привести к использованию данной уязвимости.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS07-014.mspx
Ссылки
http://isc.sans.org/diary.php?storyid=1925
http://vil.mcafeesecurity.com/vil/content/v_141056.htm
http://vil.mcafeesecurity.com/vil/content/v_vul27249.htm
http://blogs.technet.com/msrc/archive/2006/12/10/new-report-of-a-word-zero-day.aspx
CERT-VN (VU#166700): http://www.kb.cert.org/vuls/id/166700
FRSIRT (ADV-2006-4920): http://www.frsirt.com/english/advisories/2006/4920
SECTRACK (1017358): http://securitytracker.com/id?1017358
FULLDISC (20061210 Another, different MS Word 0-day vulnerability reported): http://archives.neohapsis.com/archives/fulldisclosure/2006-12/0199.html
FULLDISC (20061211 The newest Word flaw is due to malformed data structure handling): http://archives.neohapsis.com/archives/fulldisclosure/2006-12/0215.html
OSVDB (30825): http://www.osvdb.org/30825
BUGTRAQ (20061210 Another, different MS Word 0-day vulnerability reported): http://www.securityfocus.com/archive/1/archive/1/454069/100/0/threaded
BUGTRAQ (20061210 Re: Another, different MS Word 0-day vulnerability reported): http://www.securityfocus.com/archive/1/archive/1/454072/100/0/threaded
BID (21518): http://www.securityfocus.com/bid/21518
XF (word-unspec-code-execution(30806)): http://xforce.iss.net/xforce/xfdb/30806
BUGTRAQ (20061211 The newest Word flaw is due to malformed data structure handling): http://www.securityfocus.com/archive/1/archive/1/454093/100/0/threaded
MS (MS07-014): http://www.microsoft.com/technet/security/Bulletin/MS07-014.mspx
SECTRACK (1017579): http://securitytracker.com/id?1017579