漏洞信息详情
Microsoft Word畸形指针代码执行漏洞(MS07-014)
- CNNVD编号:CNNVD-200612-318
- 危害等级: 高危
- CVE编号: CVE-2006-6561
- 漏洞类型: 资料不足
- 发布时间: 2006-12-14
- 威胁类型: 远程
- 更新时间: 2007-06-27
- 厂 商: microsoft
- 漏洞来源: Disco Jonny
漏洞简介
Microsoft Word是非常流行的文字处理办公软件。
Word在处理畸形格式的文件时存在漏洞,远程攻击者可能利用此漏洞在用户机器上执行任意指令。
Word所使用的用于为内存拷贝例程创建目标地址的数据内嵌于Word文档本身,因此如果攻击者所创建的Word文档使用特定的值构建这个目标地址的话,就可能覆盖任意内存,导致执行任意指令。目前这个漏洞正在被积极的利用。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.microsoft.com/technet/security/Bulletin/ms07-014.mspx?pf=true
参考网址
来源: US-CERT
名称: VU#996892
链接:http://www.kb.cert.org/vuls/id/996892
来源: XF
名称: word-pointer-code-execution(30885)
链接:http://xforce.iss.net/xforce/xfdb/30885
来源: BID
名称: 21589
链接:http://www.securityfocus.com/bid/21589
来源: BUGTRAQ
名称: 20061212 Re: Re: The newest Word flaw is due to malformed data structure handling
链接:http://www.securityfocus.com/archive/1/454219/30/0/threaded
来源: MISC
链接:http://www.milw0rm.com/sploits/12122006-djtest.doc
来源: MILW0RM
名称: 2922
链接:http://www.milw0rm.com/exploits/2922
来源: VUPEN
名称: ADV-2006-4997
链接:http://www.frsirt.com/english/advisories/2006/4997
来源: SECTRACK
名称: 1017390
链接:http://securitytracker.com/id?1017390
来源: MISC
链接:http://research.eeye.com/HTML/alerts/zeroday/20061212.HTML
来源: MILW0RM
名称: 2922
链接:http://milw0rm.com/exploits/2922
来源: blogs.technet.com
链接:http://blogs.technet.com/msrc/archive/2006/12/15/update-on-current-word-vulnerability-reports.aspx
来源: MISC
链接:http://blogs.securiteam.com/?p=763
来源: US Government Resource: oval:org.mitre.oval:def:332
名称: oval:org.mitre.oval:def:332
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:332
受影响实体
- Microsoft Works:2006
- Microsoft Works:2005
- Microsoft Works:2004
- Microsoft Word_viewer:2003
- Microsoft Word:2003
补丁
暂无
评论