漏洞信息详情
Microsoft Visual Basic for Applications文本解析栈溢出溢出漏洞(MS10-031)
- CNNVD编号:CNNVD-201005-147
- 危害等级: 超危
- CVE编号: CVE-2010-0815
- 漏洞类型: 代码注入
- 发布时间: 2010-05-12
- 威胁类型: 远程
- 更新时间: 2010-05-12
- 厂 商: microsoft
- 漏洞来源: Nsfocus安全小组 securi...
漏洞简介
Microsoft Visual Basic for Applications(VBA)是用于开发客户端桌面所包装的应用程序并集成到现有数据和系统的开发技术。
在搜索支持VBA的文档(如Office文档)中的ActiveX控件时VBA所使用的VBE6.dll库中的文本解析代码存在单字节栈溢出漏洞。如果主机应用程序打开一个特制文件并将其传递到VBA运行时,就会将缓冲区外的值为0x2E的单个字节转换为0x00。成功利用此漏洞的攻击者便可完全控制受影响的系统。
临时解决方法:
(1) 禁用2007 Microsoft Office System中的ActiveX控件。
(2) 限制对VBE6.dll的访问。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.microsoft.com/technet/security/bulletin/MS10-031.mspx?pf=true
参考网址
来源: MS
名称: MS10-031
链接:http://www.microsoft.com/technet/security/Bulletin/MS10-031.mspx 来源:NSFOCUS 名称:15001 链接:http://www.nsfocus.net/vulndb/15001
受影响实体
- Microsoft Visual_basic_for_applications
- Microsoft Visual_basic_sdk:6.3
- Microsoft Visual_basic_sdk:6.4
- Microsoft Visual_basic_sdk:6.5
- Microsoft Office:Xp:Sp3
补丁
- Security Update for Microsoft Office 2003 (KB976382)
- Security Update for Microsoft Office XP (KB976380)
- Security Update for the 2007 Microsoft Office System (KB976321)
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论