Уязвимость удаленного выполнения кода в Microsoft Office из-за некорректной верификации входных данных перед загрузкой файлов динамической библиотеки (DLL)
Описание
Злоумышленник, успешно эксплуатировавший эту уязвимость, способен получить контроль над затронутой системой и выполнять различные действия, такие как установка программ, просмотр, изменение или удаление данных, а также создание новых учетных записей с полными правами пользователя.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник должен убедить пользователя открыть специально созданный документ Office.
Решение
Обновления безопасности устраняют уязвимость, исправляя, как Office валидирует входные данные перед загрузкой файлов DLL.
Часто задаваемые вопросы
Я установил Microsoft Word 2010. Почему мне не предлагают обновление 3128023?
Обновление 3128023 применяется только к системам с определенными конфигурациями Microsoft Office 2010. Некоторые конфигурации не получат это обновление.
Мне предлагают это обновление для программного обеспечения, которое не указано в таблице Затронутого программного обеспечения и Рейтингах серьезности уязвимости. Почему мне предлагают это обновление?
Когда обновления устраняют уязвимый код в компоненте, который используется несколькими продуктами Microsoft Office или разными версиями одного и того же продукта Microsoft Office, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим этот уязвимый компонент.
Например, если обновление применяется к продуктам Microsoft Office 2007, только Microsoft Office 2007 может быть конкретно указано в таблице Затронутого программного обеспечения. Тем не менее, обновление может касаться Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer или любого другого продукта Microsoft Office 2007, который не указан в таблице Затронутого программного обеспечения. Аналогично, если обновление применяется к продуктам Microsoft Office 2010, только Microsoft Office 2010 может быть конкретно указано в таблице Затронутого программного обеспечения. Однако обновление может касаться Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любого другого продукта Microsoft Office 2010, который не указан в таблице Затронутого программного обеспечения.
Для получения дополнительной информации об этом поведении и рекомендуемых действиях, смотрите статью базы знаний Microsoft 830335. Для списка продуктов Microsoft Office, на которые может применяться обновление, обратитесь к статье базы знаний Microsoft, связанной с конкретным обновлением.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2013 RT Service Pack 1 | - | |
| Microsoft Office 2016 (32-bit edition) | ||
| Microsoft Office 2016 (64-bit edition) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
Microsoft Office 2010 SP2, 2013 SP1, 2013 RT SP1, and 2016 mishandles library loading, which allows local users to gain privileges via a crafted application, aka "Microsoft Office OLE DLL Side Loading Vulnerability."
Microsoft Office 2010 SP2, 2013 SP1, 2013 RT SP1, and 2016 mishandles library loading, which allows local users to gain privileges via a crafted application, aka "Microsoft Office OLE DLL Side Loading Vulnerability."
EPSS