Уязвимость повышения уровня доступа в программном обеспечении Microsoft Office из-за некорректной обработки объектов в памяти
Описание
Уязвимость позволяет злоумышленнику запустить произвольный код с правами текущего пользователя. При наличии прав администратора у этого пользователя, злоумышленник способен взять полный контроль над системой. Пользователи с ограниченными правами могут быть менее подвержены атаке.
Условия эксплуатации
Для эксплуатации уязвимости пользователю необходимо открыть специальный файл, созданный вредоносным образом, с использованием уязвимой версии Microsoft Office. В сценарии атаки через электронную почту злоумышленник может отправить такой файл пользователю и убедить его открыть его. В сценарии веб-атаки злоумышленник может разместить файл на своем сайте или на скомпрометированном сайте, который принимает или хостит пользовательский контент. Злоумышленник не может принудительно заставить пользователя посетить сайт; вместо этого ему необходимо убедить пользователя щелкнуть по ссылке, что обычно делается через предложение в электронной почте или в мессенджере, а затем убедить открыть специальный файл.
Решение
Обновление безопасности устраняет уязвимость, исправляя способ, которым Microsoft Office обрабатывает объекты в памяти.
Дополнительная информация
Примечание: Окно предпросмотра не является вектором атаки для этой уязвимости.
Часто задаваемые вопросы (FAQ)
Почему мне предлагают это обновление для программного обеспечения, которое не указано как затронуто в таблице "Затронутое программное обеспечение и Оценка степени уязвимости"?
Обновления применимы ко всему поддерживаемому программному обеспечению и версиям, содержащим уязвимый компонент, даже если они не указаны в таблице. Например, если обновление применяется к продуктам Microsoft Office 2007, только Microsoft Office 2007 может быть специально указан в таблице "Затронутое программное обеспечение". Тем не менее, обновление может касаться других продуктов Microsoft Office 2007, которые не указаны.
Для получения дополнительной информации о данном поведении и рекомендуемых действиях, смотрите Статья базы знаний Microsoft 830335.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Office 2007 Service Pack 3 | ||
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2013 RT Service Pack 1 | - | |
| Microsoft Office 2016 (32-bit edition) | ||
| Microsoft Office 2016 (64-bit edition) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
Microsoft Office 2007 SP3, Office 2010 SP2, Office 2013 SP1, Office 2013 RT SP1, and Office 2016 allow remote attackers to execute arbitrary code via a crafted Office document, aka "Microsoft Office Memory Corruption Vulnerability."
Microsoft Office 2007 SP3, Office 2010 SP2, Office 2013 SP1, Office 2013 RT SP1, and Office 2016 allow remote attackers to execute arbitrary code via a crafted Office document, aka "Microsoft Office Memory Corruption Vulnerability."
Уязвимость пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код
EPSS