Vulnerabilidad en MaskedEdit (CVE-2008-3704)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
18/08/2008
Última modificación:
09/04/2025
Descripción
Un desbordamiento de búfer en la región heap de la memoria en el control ActiveX de MaskedEdit en msmask32.ocx versión 6.0.81.69, y posiblemente en otras versiones anteriores a 6.0.84.18, en Visual Studio versión 6.0, Visual Basic versión 6.0, Visual Studio .NET 2002 SP1 y 2003 SP1, y Visual FoxPro versiones 8.0 SP1 y 9.0 SP1 y SP2, de Microsoft, permite a los atacantes remotos ejecutar código arbitrario por medio de un parámetro Mask largo, relacionado con la no "validating property values with boundary checks", como se explotó “in the wild” en Agosto de 2008, también se conoce como "Masked Edit Control Memory Corruption Vulnerability".
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:microsoft:visual_basic:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:visual_foxpro:8.0:sp1:*:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:visual_foxpro:9.0:sp1:*:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:visual_foxpro:9.0:sp2:*:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:visual_studio:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:visual_studio_.net:2002:sp1:*:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:visual_studio_.net:2003:sp1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/31498
- http://support.avaya.com/elmodocs2/security/ASA-2008-473.htm
- http://www.securityfocus.com/bid/30674
- http://www.securitytracker.com/id?1020710=
- http://www.us-cert.gov/cas/techalerts/TA08-344A.html
- http://www.vupen.com/english/advisories/2008/2380
- http://www.vupen.com/english/advisories/2008/3382
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-070
- https://exchange.xforce.ibmcloud.com/vulnerabilities/44444
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5794
- https://www.exploit-db.com/exploits/6244
- https://www.exploit-db.com/exploits/6317
- http://secunia.com/advisories/31498
- http://support.avaya.com/elmodocs2/security/ASA-2008-473.htm
- http://www.securityfocus.com/bid/30674
- http://www.securitytracker.com/id?1020710=
- http://www.us-cert.gov/cas/techalerts/TA08-344A.html
- http://www.vupen.com/english/advisories/2008/2380
- http://www.vupen.com/english/advisories/2008/3382
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-070
- https://exchange.xforce.ibmcloud.com/vulnerabilities/44444
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5794
- https://www.exploit-db.com/exploits/6244
- https://www.exploit-db.com/exploits/6317