Уязвимость удаленного выполнения кода в Microsoft Office из-за некорректной проверки входных данных перед загрузкой файлов динамической библиотеки (DLL)
Описание
Злоумышленник, который успешно эксплуатировал эту уязвимость, способен получить контроль над затронутой системой. После этого злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя. Пользователи, чьи учетные записи настроены на получение меньшего количества прав, могут пострадать меньше, чем пользователи с правами администратора.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник должен сначала убедить пользователя открыть специально созданный документ Office.
Решение
Обновления безопасности устраняют уязвимость, исправляя способ, которым Office валидирует входные данные перед загрузкой файлов DLL.
Другие сведения
Это обновление безопасности предназначено только для версии Click-to-Run (C2R).
Чтобы получить дополнительную информацию и текущий номер версии Click-to-Run, смотрите релизы канала обновлений клиента Office 365.
Почему мне предлагается это обновление для программного обеспечения, которое не указано как затронутое в таблице Затронутые продукты?
Когда обновления устраняют уязвимый код, который существует в компоненте, общим для нескольких продуктов Microsoft Office или нескольких версий одного и того же продукта Microsoft Office, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.
Например, когда обновление применяется к продуктам Microsoft Office 2007, только Microsoft Office 2007 может быть специально указано в таблице Затронутые продукты. Однако обновление может относиться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer или любому другому продукту Microsoft Office 2007, который не указан специально в таблице Затронутые продукты. Кроме того, когда обновление применяется к продуктам Microsoft Office 2010, только Microsoft Office 2010 может быть специально указано в таблице Затронутые продукты. Однако обновление может относиться к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любому другому продукту Microsoft Office 2010, который не указан специально в таблице Затронутые продукты.
Для получения дополнительной информации об этом поведении и рекомендуемых действиях, смотрите Статья базы знаний Microsoft 830335. Для получения списка продуктов Microsoft Office, к которым может относиться обновление, обращайтесь к статье базы знаний Microsoft, связанной с конкретным обновлением.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 for Itanium-Based Systems Service Pack 2 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
A remote code execution vulnerability exists in Microsoft Office when the software fails to properly handle objects in memory, aka "Office Remote Code Execution Vulnerability". This CVE ID is unique from CVE-2017-8509, CVE-2017-8510, CVE-2017-8511, CVE-2017-8512, and CVE-2017-8506.
A remote code execution vulnerability exists in Microsoft Office when the software fails to properly handle objects in memory, aka "Office Remote Code Execution Vulnerability". This CVE ID is unique from CVE-2017-8509, CVE-2017-8510, CVE-2017-8511, CVE-2017-8512, and CVE-2017-8506.
Уязвимость операционной системы Windows и пакета программ Microsoft Office, позволяющая нарушителю выполнить произвольный код
EPSS