BDU:2014-00364

Опубликовано: 14 мая 2014

Источник: fstec

CVSS2: 6.8

EPSS Средний

Описание

Уязвимость программного обеспечения Microsoft Office, связанная с ошибкой, возникающей в результате некорректной реализации рандомизации адресного пространства ASLR в библиотеке общих элементов управления MSCOMCTL. Эксплуатация данной уязвимости позволяет злоумышленнику обойти механизм защиты ASLR

Вендор

Microsoft Corp.

Наименование ПО

Microsoft Office

Версия ПО

2010 SP1 (Microsoft Office)

2010 SP2 (Microsoft Office)

2013 (Microsoft Office)

2013 SP1 (Microsoft Office)

2013 RT (Microsoft Office)

2013 SP1 RT (Microsoft Office)

2007 SP3 (Microsoft Office)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp. Windows .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Возможные меры по устранению уязвимости

Информация об устранении уязвимости содержится в бюллетене MS14-024, предоставленном разработчиком

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%

0.12935

Средний

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2014-1809

nvd

около 11 лет назад

The MSCOMCTL library in Microsoft Office 2007 SP3, 2010 SP1 and SP2, and 2013 Gold, SP1, RT, and RT SP1 makes it easier for remote attackers to bypass the ASLR protection mechanism via a crafted web site, as exploited in the wild in May 2014, aka "MSCOMCTL ASLR Vulnerability."

GHSA-xhv6-jw2r-w43w