Хакер #305. Многошаговые SQL-инъекции
Программа:
Microsoft Office 2003 Professional Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2007
Microsoft Office XP
Microsoft Visio 2002
Microsoft Visio 2003
Microsoft Visio 2007
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в hxvz.dll ActiveX компоненте. Атакующий может обманным образом заманить пользователя на специально составленный сайт, что приведет к порче памяти и выполнению произвольного кода.
1) Уязвимость существует из-за ошибки в обработке данных заголовков объектов. Атакующий может передать специально составленный Visio файл, что приведет к выполнению произвольного кода.
2) Уязвимость существует из-за ошибки в проверке выделении памяти при загрузке AutoCAD файлов. Атакующий может передать специально составленный .DXF файл, что приведет к выполнению произвольного кода.
Ссылка:
http://www.microsoft.com/technet/security/Bulletin/MS08-019.mspx