Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft Outlook
(2002 SP3, 2003 SP3, 2007 SP1, 2007 SP2)
Microsoft Visio Viewer
(2002, 2003, 2007 SP1, 2007 SP2)
Microsoft Updates
(KB2288953, KB2449798, KB2825644, KB2825999, KB2863811, KB972363, KB973702, KB973705, KB973709, KB980371, KB980373, KB980376)
Описание
Уязвимость, которая позволяет удаленно выполнить код, существует в библиотеке Microsoft Active Template Library (ATL) из-за того, что ATL-заголовки позволяет злоумышленникам вызвать VariantClear для VARIANT, который был некорректно инициализирован. Из-за этого злоумышленник может контролировать, что происходит, когда VariantClear вызывается во время обработки ошибки, используя некорректный поток. Этой уязвимости подвержены только те системы, компоненты которых были скомпилированы с использованием Visual Studio ATL. Эта уязвимость позволяет пользователям, которые действующим удаленно и не прошли аутентификацию, выполнить удаленный код. Для эксплуатации данной уязвимость злоумышленник должен создать специально сформированную веб-страницу. Когда пользователь просматривает эту веб-страницу, уязвимость позволяет злоумышленнику удаленно выполнить код.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS09-060.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-060.mspx
Ссылки
MS (MS09-060): http://www.microsoft.com/technet/security/bulletin/ms09-060.mspx
Источник: CVE
Наименование: CVE-2009-0901
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0901
Источник: CVE
Наименование: CVE-2009-0901
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0901