Microsoft Office 2003/2007 WordPerfect Document epsimp32.flt Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 9.5 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Microsoft Office 2003/2007 ausgemacht. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Verarbeitung der Datei epsimp32.flt der Komponente WordPerfect Document Handler. Mittels dem Manipulieren mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2013-1325. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
Es wurde eine sehr kritische Schwachstelle in Microsoft Office 2003/2007 (Office Suite Software) ausgemacht. Dabei betrifft es ein unbekannter Prozess der Datei epsimp32.flt der Komponente WordPerfect Document Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Heap-based buffer overflow in Microsoft Office 2003 SP3 and 2007 SP3 allows remote attackers to execute arbitrary code via a crafted WordPerfect document (.wpd) file, aka "Word Heap Overwrite Vulnerability."Eingeführt wurde der Fehler am 17.11.2003. Die Schwachstelle wurde am 12.11.2013 durch Will Dormann von CERT/CC als MS13-091 in Form eines bestätigten Bulletins (Technet) publik gemacht. Das Advisory kann von technet.microsoft.com heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird seit dem 12.01.2013 unter CVE-2013-1325 geführt. Sie gilt als schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 02.06.2021).
Insgesamt wurde die Schwachstelle mindestens 3648 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 70849 (MS13-091: Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2885093)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 110225 (Microsoft Office Remote Code Execution Vulnerability (MS13-091)) zur Prüfung der Schwachstelle an.
Die Schwachstelle lässt sich durch das Einspielen des Patches MS13-091 beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat sofort reagiert. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 13166 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (88366), Tenable (70849), SecurityFocus (BID 63604†), OSVDB (99650†) und Secunia (SA55539†) dokumentiert. Die Schwachstellen VDB-11146 und VDB-11149 sind ähnlich. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 10.0VulDB Meta Temp Score: 9.5
VulDB Base Score: 10.0
VulDB Temp Score: 9.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 70849
Nessus Name: MS13-091: Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2885093)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 903414
OpenVAS Name: Microsoft Office Remote Code Execution Vulnerabilities (2885093)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: MS13-091
TippingPoint: 🔍
McAfee IPS Version: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
17.11.2003 🔍12.01.2013 🔍
12.11.2013 🔍
12.11.2013 🔍
12.11.2013 🔍
12.11.2013 🔍
13.11.2013 🔍
15.11.2013 🔍
02.06.2021 🔍
Quellen
Hersteller: microsoft.comAdvisory: MS13-091
Person: Will Dormann
Firma: CERT/CC
Status: Bestätigt
Koordiniert: 🔍
CVE: CVE-2013-1325 (🔍)
GCVE (CVE): GCVE-0-2013-1325
GCVE (VulDB): GCVE-100-11148
OVAL: 🔍
IAVM: 🔍
X-Force: 88366
SecurityFocus: 63604
Secunia: 55539 - Microsoft Office Multiple WordPerfect Document Parsing Vulnerabilities, Highly Critical
OSVDB: 99650
Vulnerability Center: 42268 - [MS13-091] Microsoft Office 2003 SP3 and 2007 SP3 Remote Code Execution due to a Heap Overwrite, Critical
Siehe auch: 🔍
Eintrag
Erstellt: 15.11.2013 11:41Aktualisierung: 02.06.2021 08:01
Anpassungen: 15.11.2013 11:41 (54), 15.05.2017 11:22 (38), 02.06.2021 08:01 (2)
Komplett: 🔍
Editor:
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.