2014-1470: Microsoft Office: Mehrere Schwachstellen ermöglichen das Ausführen beliebiger Befehle

Historie:

Version 1 (2014-11-12 13:06)

Neues Advisory

Betroffene Software

Middleware
Office
Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Microsoft Word behandelt Objekte im Speicher beim Parsen von entsprechend manipulierten Office-Dokumenten in unsicherer Weise und es kann durch mehrere Schwachstellen zur Korruption von Speicherinhalten kommen. Weiterhin lädt der Microsoft Input Method Editor (IME) Wörterbücher in unsicher Weise und ermöglicht damit den Ausbruch aus der Sandbox.
Ein entfernter, nicht authentisierter Angreifer, dem es gelingt einen Anwender zum Öffnen eines manipulierten Office-Dokumentes, beispielsweise aus einem E-Mail-Anhang oder einer Website, zu verleiten, kann diese Schwachstellen ausnutzen, um beliebige Befehle mit den Rechten des Anwenders zur Ausführung oder die Anwendung zum Absturz zu bringen. Ein entfernter, authentisierter Angreifer kann seine Rechte erweitern.

Schwachstellen:

CVE-2014-4077

Schwachstelle im Microsoft Input Method Editor (IME) (Japanese)

CVE-2014-6333

Schwachstelle in Microsoft Office

CVE-2014-6334

Schwachstelle in Microsoft Office durch fehlerhaften Index

CVE-2014-6335

Schwachstelle in Microsoft Office durch ungültige Zeigervariable

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.