Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:N/A:N)
Производитель ПО
Наименование ПО
Microsoft Outlook
(2002 SP3, 2003 SP3, 2007 SP1, 2007 SP2)
Microsoft Visio Viewer
(2002, 2003, 2007 SP1, 2007 SP2)
Microsoft Updates
(KB2288953, KB2449798, KB2825644, KB2825999, KB2863811, KB972363, KB973702, KB973705, KB973709, KB980371, KB980373, KB980376)
Описание
Уязвимость, которая позволяет получить доступ к важным данным, существует в библиотеке Microsoft Active Template Library (ATL). Эта уязвимость позволяет прочитать строку без завершающего нулевого символа. Злоумышленник может манипулировать такой строкой, чтобы почитать дополнительные данные, которые находятся за концом строки и таким образом получить доступ к данным из памяти. Эта уязвимость относится только к тем системам, чьи компоненты были скомпилированные с помощью Visual Studio ATL. В случае успешной эксплуатации данной уязвимости злоумышленник может запустить уязвимый компонент и получить доступ к важным данным, перенаправить данные пользователя третьей стороне или получить доступ к данным, которые доступны для зарегистрированного в системе пользователя. Обратите внимание, что эта уязвимость не дает злоумышленнику возможности напрямую выполнить код или повысить свои привилегии, но она может использоваться, чтобы получить данные для дальнейших атак.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS09-060.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-060.mspx
Ссылки
MS (MS09-060): http://www.microsoft.com/technet/security/bulletin/ms09-060.mspx
Источник: CVE
Наименование: CVE-2009-2495
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2495
Источник: CVE
Наименование: CVE-2009-2495
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2495