Информационная безопасность
[RU] switch to English


Выполнение кода через Microsoft Data Access Components (code execution)
дополнено с 13 февраля 2007 г.
Опубликовано:26 марта 2007 г.
Источник:
SecurityVulns ID:7227
Тип:клиент
Уровень опасности:
7/10
Описание:Двойное освобождение памяти в ADODB.Connection NextRecordset() / Execute() позволяет выполнение кода. Может быть использовано для скрытой установки вредоносного кода.
Затронутые продукты:MICROSOFT : Windows 2000 Server
 MICROSOFT : Windows 2000 Professional
 MICROSOFT : Windows XP
 MICROSOFT : Windows 2003 Server
 MICROSOFT : Microsoft Data Access Components 2.5
 MICROSOFT : Microsoft Data Access Components 2.8
CVE:CVE-2006-5559 (The Execute method in the ADODB.Connection 2.7 and 2.8 ActiveX control objects (ADODB.Connection.2.7 and ADODB.Connection.2.8) in the Microsoft Data Access Components (MDAC) 2.5 SP3, 2.7 SP1, 2.8, and 2.8 SP1 does not properly track freed memory when the second argument is a BSTR, which allows remote attackers to cause a denial of service (Internet Explorer crash) and possibly execute arbitrary code via certain strings in the second and third arguments.)
Оригинальный текстdocumentMICROSOFT, Microsoft Security Bulletin MS07-009 Vulnerability in Microsoft Data Access Components Could Allow Remote Code Execution (927779) (13.02.2007)
Файлы:Microsoft Internet Explorer ADODB.Recordset Double Free Memory Exploit (ms07-009)
 Microsoft Security Bulletin MS07-009 Vulnerability in Microsoft Data Access Components Could Allow Remote Code Execution (927779)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород