Inicio / Alerta Temprana / Vulnerabilidades / CVE-2012-0158

Vulnerabilidad en Los controles ActiveX, ListView, ListView2, TreeView y TreeView2 en MSCOMCTL.OCX en the Common Controls (CVE-2012-0158)

Tipo: 
Control incorrecto de generación de código (Inyección de código)
Gravedad: 
Alta
Fecha publicación : 
10/04/2012
Última modificación: 
12/10/2018
Descripción
Los controles ActiveX (1) ListView, (2) ListView2, (3) TreeView, y (4) TreeView2 en MSCOMCTL.OCX en the Common Controls en Microsoft Office 2003 SP3, 2007 SP2 y SP3, y 2010 Gold y SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, y 2008 SP2, SP3, y R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, y 2009 Gold y R2; Visual FoxPro 8.0 SP1 y 9.0 SP2; y Visual Basic 6.0 Runtime permita a atacantes remotos ejecutar código a través de la manipulación de: (a) sitios web, (b) documento de Office, o (c) fichero .rtf que provoca una corrupción "system state", como la explotada en April del 2012, también conocida como vulnerabilidad "MSCOMCTL.OCX RCE".
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:microsoft:visual_foxpro:9.0:sp2:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:visual_foxpro:8.0:sp1:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:visual_basic:6.0:*:runtime_extended_files:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:sp3:x86:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:sp3:x64:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:sp3:itanium:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:sp2:x86:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:sp2:x64:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:sp2:itanium:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:r2:x86:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:r2:x64:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2008:r2:itanium:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2005:sp4:x86:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2005:sp4:x64:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2005:sp4:itanium:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2005:sp4:express_advanced_services:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2000:sp4:analysis_services:*:*:*:*:*
  • cpe:2.3:a:microsoft:sql_server:2000:sp4:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:office_web_components:2003:sp3:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:office:2010:sp1:x86:*:*:*:*:*
  • cpe:2.3:a:microsoft:office:2010:*:x86:*:*:*:*:*
  • cpe:2.3:a:microsoft:office:2007:sp3:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:office:2007:sp2:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:office:2003:sp3:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:commerce_server:2009:r2:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:commerce_server:2009:*:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:commerce_server:2007:sp2:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:commerce_server:2002:sp4:*:*:*:*:*:*
  • cpe:2.3:a:microsoft:biztalk_server:2002:sp1:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos