Office Web Components
Уязвимости
13
Эксплуатируемые
2
Макс. CVSS
9.3
Макс. EPSS
0.9999
Распределение по критичности
Критический
5
Высокий
4
Средний
4
Низкий
0
Также сопоставлено как (исходные строки): visual_basic,commerce_server,office_xp,visual_studio_.net,biztalk_server,office,visual_foxpro,host_integration_server,isa_server,office_web_components,project,sql_server
Топ уязвимостей
CVE-2009-2496Переполнение буфера на основе кучи в элементе управления ActiveX Office Web Components в Microsoft Office XP SP3, Office 2003 SP3, Office XP Web Components SP3, Office 2003 Web Components SP3, Office 2003 Web Components SP1 для 2007 Microsoft Office System, Internet Security and Acceleration (ISA) Server 2004 SP3 и 2006 SP1, и Office Small Business Accounting 2006 позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные параметры для неизвестных методов, также известное как "Уязвимость повреждения кучи Office Web Components".
CVE-2009-1534Переполнение буфера в элементе управления ActiveX Office Web Components в Microsoft Office XP SP3, Office 2000 Web Components SP3, Office XP Web Components SP3, BizTalk Server 2002 и Visual Studio .NET 2003 SP1 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданные значения свойств, также известная как "Уязвимость переполнения буфера Office Web Components".
CVE-2009-1136Элемент управления Microsoft Office Web Components Spreadsheet ActiveX (также известный как OWC10 или OWC11), распространяемый в Office XP SP3 и Office 2003 SP3, Office XP Web Components SP3, Office 2003 Web Components SP3, Office 2003 Web Components SP1 для 2007 Microsoft Office System, Internet Security and Acceleration (ISA) Server 2004 SP3 и 2006 Gold и SP1 и Office Small Business Accounting 2006, при использовании в Internet Explorer позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный вызов метода msDataSourceObject, как это использовалось в дикой природе в июле и августе 2009 г., также известное как "Уязвимость HTML-скрипта Office Web Components".
CVE-2009-0562Office Web Components ActiveX Control в Microsoft Office XP SP3, Office 2003 SP3, Office XP Web Components SP3, Office 2003 Web Components SP3, Office 2003 Web Components SP1 для 2007 Microsoft Office System, Internet Security and Acceleration (ISA) Server 2004 SP3 и 2006 SP1 и Office Small Business Accounting 2006 неправильно выделяет память, что позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы, которые вызывают повреждение "состояния системы", также известное как "Уязвимость выделения памяти Office Web Components".
CVE-2006-4695Неуказанная уязвимость в определенных COM-объектах в Microsoft Office Web Components 2000 позволяет удаленным злоумышленникам с помощью пользователя выполнять произвольный код через специально созданный URL-адрес, также известный как "Уязвимость синтаксического анализа URL-адресов Office Web Components".
CVE-2012-1856Управление TabStrip ActiveX в общих контролях MSCOMCTL.OCX в Microsoft Office 2003 SP3, Office 2003 Web Components SP3, Office 2007 SP2 и SP3, Office 2010 SP1, SQL Server 2000 SP4, SQL Server 2005 SP4, SQL Server 2008 SP2, SP3, R2, R2 SP1 и R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Gold и R2, Host Integration Server 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2 и Visual Basic 6.0 Runtime позволяет удалённым злоумышленникам выполнять произвольный код через созданный (1) документ или (2) веб-страницу, что вызывает повреждение состояния системы, известное как "Уязвимость RCE MSCOMCTL.OCX."
CVE-2012-0158(1) ListView, (2) ListView2, (3) TreeView и (4) TreeView2 ActiveX управляют MSCOMCTL.OCX в общих контрользах Microsoft Office 2003 SP3, 2007 SP2 и SP3, и 2010 Gold и SP1; веб-компоненты Office 2003 SP3; SQL Server 2000 SP4, 2005 SP4, и 2008 SP2, SP3, и R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, и 2009 Gold и R2; Visual FoxPro 8.0 SP1 и 9.0 SP2; и Visual Basic 6.0 Runtime позволяют удалённым злоумышленникам выполнять произвольный код через созданный (a) веб-сайт, (b) документ Office или (c) .rtf файл, который вызывает повреждение "состояния системы", как это использовалось в дикой природе в апреле 2012 года, известное как "Уязвимость RCE MSCOMCTL.OCX."
CVE-2002-0861Microsoft Office Web Components (OWC) 2000 и 2002 позволяет удаленным злоумышленникам обходить параметр "Разрешить операции вставки с помощью скрипта", даже если он отключен, с помощью (1) метода Copy объекта Cell или (2) метода Paste объекта Range.
CVE-2002-0727Функция Host в Microsoft Office Web Components (OWC) 2000 и 2002 предоставляется в компонентах, которые помечены как безопасные для сценариев, что позволяет удаленным злоумышленникам выполнять произвольные команды через метод setTimeout.
CVE-2002-1340Свойство "ConnectionFile" в компоненте DataSourceControl Office Web Components (OWC) 10 позволяет удаленным злоумышленникам определить существование локальных файлов путем обнаружения исключения.
CVE-2002-1339Свойство "XMLURL" в компоненте Spreadsheet Office Web Components (OWC) 10 следует перенаправлениям, что позволяет удаленным злоумышленникам определить существование локальных файлов на основе исключений или читать файлы WorkSheet XML.
CVE-2002-1338Метод Load в компоненте Chart Office Web Components (OWC) 9 и 10 генерирует исключение, когда указанный файл не существует, что позволяет удаленным злоумышленникам определить существование локальных файлов.
CVE-2002-0860Метод LoadText в компоненте электронной таблицы в Microsoft Office Web Components (OWC) 2000 и 2002 позволяет удаленным злоумышленникам читать произвольные файлы через Internet Explorer с помощью URL-адреса, который перенаправляет на целевой файл.