Vulnerabilidad en Microsoft Office (CVE-2013-5057)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
11/12/2013
Última modificación:
11/04/2025
Descripción
hxds.dll en Microsoft Office 2007 SP3 y 2010 SP1 y SP2 no implementa el mecanismo de protección ASLR, lo que hace que sea más fácil para los atacantes remotos ejecutar código arbitrario a través de un componente COM manipulado en un sitio web que se visita con Internet Explorer, como ha sido explotado, en diciembre de 2013, también conocido como "HXDS ASLR vulnerabilidad."
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:microsoft:office:2007:sp3:*:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:office:2010:sp1:x64:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:office:2010:sp1:x86:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:office:2010:sp2:x64:*:*:*:*:* | ||
| cpe:2.3:a:microsoft:office:2010:sp2:x86:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blogs.technet.com/b/srd/archive/2013/12/09/ms13-106-another-aslr-bypass-is-gone.aspx
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-106
- http://blogs.technet.com/b/srd/archive/2013/12/09/ms13-106-another-aslr-bypass-is-gone.aspx
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-106