BDU:2014-00364

Опубликовано: 14 мая 2014

Источник: fstec

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость программного обеспечения Microsoft Office, связанная с ошибкой, возникающей в результате некорректной реализации рандомизации адресного пространства ASLR в библиотеке общих элементов управления MSCOMCTL. Эксплуатация данной уязвимости позволяет злоумышленнику обойти механизм защиты ASLR

Вендор

Microsoft Corp

Наименование ПО

Microsoft Office 2010 Service Pack 1

Microsoft Office 2010 Service Pack 2

Microsoft Office 2013

Microsoft Office 2013 Service Pack 1

Microsoft Office 2013 RT

Microsoft Office 2007 Service Pack 3

Microsoft Office 2013 RT Service Pack 1

Версия ПО

- (Microsoft Office 2010 Service Pack 1)

- (Microsoft Office 2010 Service Pack 2)

- (Microsoft Office 2013)

- (Microsoft Office 2013 Service Pack 1)

- (Microsoft Office 2013 RT)

- (Microsoft Office 2007 Service Pack 3)

- (Microsoft Office 2013 RT Service Pack 1)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Возможные меры по устранению уязвимости

Информация об устранении уязвимости содержится в бюллетене MS14-024, предоставленном разработчиком

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%

0.09953

Низкий

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2014-1809

nvd

больше 11 лет назад

The MSCOMCTL library in Microsoft Office 2007 SP3, 2010 SP1 and SP2, and 2013 Gold, SP1, RT, and RT SP1 makes it easier for remote attackers to bypass the ASLR protection mechanism via a crafted web site, as exploited in the wild in May 2014, aka "MSCOMCTL ASLR Vulnerability."

GHSA-xhv6-jw2r-w43w