Элементы управления ActiveX (1) ListView, (2) ListView2, (3) TreeView и (4) TreeView2 в MSCOMCTL.OCX в общих элементах управления в Microsoft Office 2003 SP3, 2007 SP2 и SP3, а также 2010 Gold и SP1; Веб-компоненты Office 2003 с пакетом обновления 3 (SP3); SQL Server 2000 SP4, 2005 SP4 и 2008 SP2, SP3 и R2; BizTalk Server 2002 с пакетом обновления 1; Commerce Server 2002 SP4, 2007 SP2 и 2009 Gold и R2; Visual FoxPro 8.0 SP1 и 9.0 SP2; и среда выполнения Visual Basic 6.0 позволяют удаленным злоумышленникам выполнять произвольный код через созданный (а) веб-сайт, (б) документ Office или (в) файл .rtf, который вызывает повреждение «состояния системы», как это было использовано в реальных условиях в апреле 2012 года, также известное как «уязвимость MSCOMCTL.OCX RCE».
Показать оригинальное описание (EN)
The (1) ListView, (2) ListView2, (3) TreeView, and (4) TreeView2 ActiveX controls in MSCOMCTL.OCX in the Common Controls in Microsoft Office 2003 SP3, 2007 SP2 and SP3, and 2010 Gold and SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, and 2008 SP2, SP3, and R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, and 2009 Gold and R2; Visual FoxPro 8.0 SP1 and 9.0 SP2; and Visual Basic 6.0 Runtime allow remote attackers to execute arbitrary code via a crafted (a) web site, (b) Office document, or (c) .rtf file that triggers "system state" corruption, as exploited in the wild in April 2012, aka "MSCOMCTL.OCX RCE Vulnerability."
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 20
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Microsoft Office
cpe:2.3:a:microsoft:office:2003:sp3:*:*:*:*:*:*
|
— | — |
|
Microsoft Office
cpe:2.3:a:microsoft:office:2007:sp2:*:*:*:*:*:*
|
— | — |
|
Microsoft Office
cpe:2.3:a:microsoft:office:2007:sp3:*:*:*:*:*:*
|
— | — |
|
Microsoft Office
cpe:2.3:a:microsoft:office:2010:*:*:*:*:*:x86:*
|
— | — |
|
Microsoft Office
cpe:2.3:a:microsoft:office:2010:sp1:*:*:*:*:x86:*
|
— | — |
|
Microsoft Office_Web_Components
cpe:2.3:a:microsoft:office_web_components:2003:sp3:*:*:*:*:*:*
|
— | — |
|
Microsoft Sql_Server_2000
cpe:2.3:a:microsoft:sql_server_2000:-:sp4:*:*:*:*:*:*
|
— | — |
|
Microsoft Sql_Server_2005
cpe:2.3:a:microsoft:sql_server_2005:-:sp4:*:*:*:*:*:*
|
— | — |
|
Microsoft Sql_Server_2008
cpe:2.3:a:microsoft:sql_server_2008:-:sp2:*:*:*:*:*:*
|
— | — |
|
Microsoft Sql_Server_2008
cpe:2.3:a:microsoft:sql_server_2008:-:sp3:*:*:*:*:*:*
|
— | — |
|
Microsoft Sql_Server_2008
cpe:2.3:a:microsoft:sql_server_2008:r2:-:*:*:*:*:*:*
|
— | — |
|
Microsoft Sql_Server_2008
cpe:2.3:a:microsoft:sql_server_2008:r2:sp1:*:*:*:*:*:*
|
— | — |
|
Microsoft Biztalk_Server
cpe:2.3:a:microsoft:biztalk_server:2002:sp1:*:*:*:*:*:*
|
— | — |
|
Microsoft Commerce_Server
cpe:2.3:a:microsoft:commerce_server:2002:sp4:*:*:*:*:*:*
|
— | — |
|
Microsoft Commerce_Server
cpe:2.3:a:microsoft:commerce_server:2007:sp2:*:*:*:*:*:*
|
— | — |
|
Microsoft Commerce_Server_2009
cpe:2.3:a:microsoft:commerce_server_2009:-:*:*:*:*:*:*:*
|
— | — |
|
Microsoft Commerce_Server_2009
cpe:2.3:a:microsoft:commerce_server_2009:r2:*:*:*:*:*:*:*
|
— | — |
|
Microsoft Visual_Basic
cpe:2.3:a:microsoft:visual_basic:6.0:*:*:*:*:*:*:*
|
— | — |
|
Microsoft Visual_Foxpro
cpe:2.3:a:microsoft:visual_foxpro:8.0:sp1:*:*:*:*:*:*
|
— | — |
|
Microsoft Visual_Foxpro
cpe:2.3:a:microsoft:visual_foxpro:9.0:sp2:*:*:*:*:*:*
|
— | — |