Microsoft Security Bulletin MS09-043
Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (957638)
http://www.microsoft.com/technet/sec.../ms09-043.mspx
Повреждение памяти в ActiveX Microsoft Office Web Components
Множественные уязвимости в Microsoft Office Web компонентах
http://www.securitylab.ru/vulnerability/382430.php
Rating: Critical
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.
1. Уязвимость существует из-за ошибки проверки границ данных в методе msDataSourceObject() в Office Web Components Spreadsheet ActiveX компоненте (OWC 10 и OWC11). Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение стека и выполнить произвольный код на целевой системе.
Примечание: уязвимости активно эксплуатируется в настоящее время.
2. Уязвимость существует из-за ошибки при загрузке и выгрузке OWC10 ActiveX компонента. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки в OWC10.Spreadsheet ActiveX компоненте, относящейся к методу BorderAround(). Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за ошибки проверки границ данных в Office Web Components ActiveX компоненте. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Affected Software:
• Microsoft Office Suites• Microsoft Office XP Service Pack 3
• Microsoft Office 2003 Service Pack 3
• Microsoft Office Web Components• Microsoft Office 2000 Web Components Service Pack 3
• Microsoft Office XP Web Components Service Pack 3
• Microsoft Office 2003 Web Components Service Pack 3
• Microsoft Office 2003 Web Components Service Pack 1 for the 2007 Microsoft Office System
• Microsoft Internet Security and Acceleration Server• Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
• Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
• Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1
• Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1
• Other Microsoft Software• Microsoft BizTalk Server 2002
• Microsoft Visual Studio .NET 2003 Service Pack 1
• Microsoft Office Small Business Accounting 2006
Non-Affected Software:
• Office and Other Software• 2007 Microsoft Office Suite Service Pack 1 and 2007 Microsoft Office Suite Service Pack 2
• Microsoft Office 2004 for Mac
• Microsoft Office 2008 for Mac
• Microsoft Office PowerPoint Viewer 2003
• Microsoft Office Word Viewer 2003
• Microsoft Office Word Viewer 2003 Service Pack 3
• Microsoft Office Excel Viewer 2003
• Microsoft Office Excel Viewer 2003 Service Pack 3
• Microsoft Office Excel Viewer
• Microsoft Office PowerPoint 2007 Viewer
• Microsoft Office PowerPoint Viewer 2007 Service Pack 1
• Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1 and Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 2
• Microsoft Internet Security and Acceleration Server 2000 Service Pack 2*
• Microsoft BizTalk Server 2004
• Microsoft BizTalk Server 2006
• Microsoft BizTalk Server 2009
• Microsoft Visual Studio 2005
• Microsoft Visual Studio 2005 Service Pack 1
• Microsoft Visual Studio 2008
• Microsoft Visual Studio 2008 Service Pack 1
• Microsoft Visual Studio 2010