Банк данных угроз безопасности информации (BDU) пополнился записью BDU:2026-05633. Она описывает опасную ошибку в редакторе электронных таблиц Microsoft Excel. Под угрозу попали также средство просмотра Excel Viewer и пакет программ Microsoft Office. Уязвимость получила идентификатор CVE-2009-0238. Ее характер - неверное управление генерацией кода. Эта проблема соответствует классификации CWE-94 (внедрение кода). Нарушитель может удаленно выполнить произвольный код. Для этого ему понадобится специально созданный файл.
Детали уязвимости
Уязвимость затрагивает широкий спектр версий. В списке значатся Microsoft Office 2000 Service Pack 3. Следом идет Office XP Service Pack 3. Далее указан Office 2003 Service Pack 3. Не обошло стороной и Office 2007 Service Pack 1. Отдельно отмечен Microsoft Excel Viewer. Среди версий для платформы macOS - Office 2004 и Office 2008. В перечень попал также Compatibility Pack Service Pack 1. Все перечисленные продукты являются прикладным ПО информационных систем.
Дата выявления уязвимости - 14 апреля 2009 года. Производитель подтвердил ее статус. Эксплойт уже существует. Способ эксплуатации обозначен как инъекция. Базовый вектор по шкале CVSS версии 2.0 получил максимальную оценку 10 из 10. Вектор выглядит так: AV:N/AC:L/Au:N/C:C/I:C/A:C. Это означает критический уровень опасности. Для CVSS версии 3.1 базовая оценка составила 8,8. Вектор третей версии: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Уровень опасности здесь высокий. Вектор CVSS 4.0 не задан.
Разработчик выпустил обновление программного обеспечения. Уязвимость устранена согласно информации от Microsoft. Производитель рекомендует установить патч из бюллетеня MS09-009. Ссылки на источники включают страницу Microsoft. Там же доступен бюллетень безопасности.
Ошибка относится к классу уязвимости кода. Ее суть - неверное управление генерацией кода. Это позволяет атакующему внедрить вредоносный код. Жертве достаточно открыть вредоносный файл. Взаимодействие с пользователем требуется. Но обманные методы, например фишинг, делают атаку вероятной. Успешная эксплуатация дает полный контроль над системой. Нарушитель может выполнить произвольные команды. Похитить данные или установить вредоносное ПО. Уровень конфиденциальности, целостности и доступности нарушается полностью.
Проблема актуальна для организаций, использующих старые версии Office. Многие компании до сих пор эксплуатируют устаревшие продукты. Например, Office 2000 или Office XP. Поддержка этих версий давно прекращена. Но патч 2009 года все еще доступен. Рекомендуется проверить версии установленных пакетов. Обновление следует провести в кратчайшие сроки. Специалисты по информационной безопасности советуют не пренебрегать уведомлениями BDU. Система BDU помогает отслеживать давно известные угрозы. Даже старые уязвимости остаются в фокусе. Злоумышленники часто используют их в массовых атаках. Нередко эксплойты модифицируют под современные методы.
В заключение отметим важность своевременных обновлений. Критическая оценка CVSS 2.0 - 10 из 10 говорит сама за себя. Высокий балл CVSS 3.1 - 8,8 подчеркивает серьезность. Каждый администратор обязан проверить инфраструктуру. Производитель устранил проблему давно. Теперь ответственность лежит на пользователе. Игнорирование таких записей BDU ведет к компрометации. Лучше установить патч сейчас, чем разбираться с последствиями атаки.
Ссылки
- https://bdu.fstec.ru/vul/2026-05633
- https://www.cve.org/CVERecord?id=CVE-2009-0238
- https://learn.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-009
- https://www.cisa.gov/news-events/alerts/2009/04/14/microsoft-updates-multiple-vulnerabilities
