Множественные уязвимости в Microsoft Visual Basic ActiveX компонентах
| Дата публикации: | 14.08.2008 |
| Дата изменения: | 14.07.2009 |
| Всего просмотров: | 4687 |
| Опасность: | Критическая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2008-3704 CVE-2008-4252 CVE-2008-4253 CVE-2008-4254 CVE-2008-4255 CVE-2008-4256 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Отказ в обслуживании Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Microsoft Visual Studio 6 Standard
Microsoft Visual Studio 6 Professional Microsoft Visual Studio 6 Enterprise Microsoft Visual Studio .NET 2002 Microsoft Visual Studio .NET 2003 Microsoft Visual FoxPro 8.x Microsoft Visual FoxPro 9.x Microsoft Visual FoxPro 6.x Microsoft Visual Basic 6.x Microsoft Project 2003 Microsoft Office Project 2007 Microsoft Frontpage 2002 |
| Уязвимые версии: Microsoft Visual Studio 6.0 Microsoft Visual Studio .NET 2002 Microsoft Visual Studio .NET 2003 Microsoft Visual FoxPro 8.0 Microsoft Visual FoxPro 9.0 Microsoft Office FrontPage 2002 Microsoft Office Project 2003 Microsoft Office Project 2007 and Microsoft Office Project 2007 Описание: 1. Уязвимость существует из-за ошибки проверки границ данных в Masked Edit ActiveX компоненте (Msmask32.ocx версии 6.0.81.69). Удаленный пользователь может с помощью специально сформированного Web сайта передать уязвимому компоненту слишком длинный параметр "Mask", вызвать переполнение стека и выполнить произвольный код на целевой системе. Уязвимость активно эксплуатировалась злоумышленниками. 2. Уязвимость существует из-за ошибки в DataGrid ActiveX компоненте (msdatgrd.ocx). Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 3. Уязвимость существует из-за ошибки в FlexGrid ActiveX компоненте (msflxgrd.ocx). Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 4. Целочисленное переполнение обнаружено в Hierarchical FlexGrid ActiveX компоненте (mshflxgd.ocx) при обработке свойств "Rows" и "Cols" в методах "ExpandAll()" и "CollapseAll()". Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 5. Уязвимость существует из-за ошибки при обработке AVI файлов в Microsoft Animation ActiveX компоненте (MSCOMCT2.OCX). Удаленный пользователь может с помощью специально сформированного AVI файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. 6. Уязвимость существует из-за ошибки в Charts ActiveX компоненте (Mschrt20.ocx). Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. URL производителя: www.microsoft.com Решение: Установите исправление с сайта производителя.
Microsoft Visual Basic 6.0 Runtime Extended Files: Microsoft Visual FoxPro 8.0 Service Pack 1: Microsoft Visual FoxPro 9.0 Service Pack 1: Microsoft Visual FoxPro 9.0 Service Pack 2: Журнал изменений:
09.12.2008 |
|
| Ссылки: |
Microsoft Visual Studio (Msmask32.ocx) ActiveX Remote BOF PoC (MS08-070) Vulnerabilities in Visual Basic 6.0 Runtime Extended Files (ActiveX Controls) Could Allow Remote Code Execution (932349) Secunia Research: Microsoft Hierarchical FlexGrid Control Integer Overflows ZDI-08-083: Microsoft Animation ActiveX Control Malformed AVI Parsing Code Execution Vulnerability MS Visual Basic ActiveX Controls mscomct2.ocx Buffer Overflow PoC |