MS07-012: Codeausführung über MFC-Komponente für OLE-Objekte
Diese Lücke ist ähnlich gelagert wie die vorige, betrifft aber nicht den OLE-Dialog sondern die entsprechende MFC-Komponente für den Zugriff auf das OLE-Objekt.
Interagiert ein Benutzer mit einem in einem RTF-Dokument eingebetteten OLE-Objekt, zeigt Windows einen speziellen Dialog an. Ein Fehler in der Routine für diesen Dialog sorgt allerdings dafür, dass beliebiger Code mit den Rechten des angemeldeten Benutzers ausgeführt werden kann.
Um diese Lücke auszunutzen, muss der Angreifer das Opfer dazu bewegen, ein speziell präpariertes RTF-Dokument zu öffnen und das OLE-Objekt zu aktivieren.
|
Datum |
12.02.2007 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Windows XP, 2000 und Server 2003, Visual Studio 2002 und 2003 |
|
Auswirkung |
Ausführen beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |