Security Lab

Выполнение произвольного кода в Microsoft Visual Basic for Applications

Дата публикации:11.05.2010
Дата изменения:12.05.2010
Всего просмотров:2144
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 7.6 (AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Office XP
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2007
Microsoft Visual Basic for Applications SDK 6.x
Microsoft Visual Basic for Applications 6.x
Уязвимые версии:
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Visual Basic for Applications 6.3, 6.4, 6.5
Microsoft Visual Basic for Applications SDK 6.3, 6.4, 6.5

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки в реализации поиска ActiveX компонентов в Microsoft Visual Basic for Applications (VBA) в библиотек VBE6.dll. Удаленный пользователь может с помощью специально сформированного документа, поддерживающего VBA (например, документа Microsoft Office), вызвать однобайтное переполнение стека и выполнить произвольный код на целевой системе.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Microsoft Office XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=72c23b0f-4e24-4334-bc8a-334adc8bc42b

Microsoft Office 2003 Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=f8eac9bc-8389-4ac8-8b29-9a8180d9fd34

2007 Microsoft Office System SP1/SP2:
http://www.microsoft.com/downloads/details.aspx?familyid=160ad53e-6475-4550-90c2-444e4abea730

Microsoft Visual Basic for Applications:
http://www.microsoft.com/downloads/details.aspx?familyid=436a8a66-352e-44d1-a610-c825083ad24a

Microsoft Visual Basic for Applications SDK:
Исправление доступно для независимых разработчиков ПО с сайта http://www.summsoft.com/.

Журнал изменений:

12.05.2010
Понижен рейтинг опасности уязвимости с высокого до низкого.

Ссылки: MS10-031: Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution (978213)