Security Lab

Целочисленное переполнение в Microsoft Outlook

Дата публикации:15.09.2010
Всего просмотров:2503
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
CVE ID: CVE-2010-2728
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Outlook 2002
Microsoft Office XP
Microsoft Outlook 2003
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Outlook 2007
Microsoft Office 2007
Уязвимые версии:
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Outlook 2002
Microsoft Outlook 2003
Microsoft Outlook 2007

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки потери значимости целочисленных при обработке определенных данных. Удаленный пользователь может с помощью специально сформированного email сообщения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимости требуется, чтобы Outlook был подключен к Exchange серверу в Online режиме (не является настройкой по умолчанию в Outlook 2003 и Outlook 2007).

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Microsoft Office XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=d5e85841-9dea-4776-9e0e-3cd272066f37

Microsoft Office 2003 Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=ec8ed81e-05d0-4c20-b5fb-ebc72230a8bd

Microsoft Office 2007 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=6009d507-135c-4ce8-a830-925134f214dc

Ссылки: MS10-064: Vulnerability in Microsoft Outlook Could Allow Remote Code Execution (2315011)
Secunia Research: Microsoft Outlook Content Parsing Integer Underflow Vulnerability