Уязвимость утечки информации в Windows Uniscribe из-за ненадлежащего раскрытия содержимого памяти
Описание
Злоумышленник, успешно эксплуатировавший эту уязвимость, способен получить информацию для дальнейшей компрометации системы пользователя.
Условия эксплуатации
Существует несколько способов, которые злоумышленник способен использовать для эксплуатации уязвимости:
- Убедить пользователя открыть специально созданный документ.
- Убедить пользователя посетить ненадежную веб-страницу.
Решение
Обновление устраняет уязвимость путем корректировки обработки объектов в памяти Windows Uniscribe.
Часто задаваемые вопросы (FAQ)
Почему мне предлагается данное обновление для программного обеспечения, которое не указано как затронутое в таблице затронутого ПО и рейтингах серьезности уязвимости?
Когда обновления исправляют уязвимый код, который находится в компоненте, используемом несколькими продуктами Microsoft Office или несколькими версиями одного и того же продукта Microsoft Office, обновление применяется ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.
Например, если обновление относится к продуктам Microsoft Office 2007, то в таблице затронутого ПО может быть указано только Microsoft Office 2007. Однако обновление способно применяться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer или любому другому продукту Microsoft Office 2007, не указанному в списке. Аналогично, когда обновление применяется к продуктам Microsoft Office 2010, в таблице затронутого ПО может быть указано только Microsoft Office 2010, однако обновление может относиться к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любому другому продукту Microsoft Office 2010, не указанному в списке.
Для получения дополнительной информации об этом поведении и рекомендуемых действиях, смотрите статью из базы знаний Microsoft 830335. Для списка продуктов Microsoft Office, к которым может относиться обновление, обратитесь к статье базы знаний Microsoft, связанной с конкретным обновлением.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Office Word Viewer | ||
| Windows Server 2008 for Itanium-Based Systems Service Pack 2 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
7.5 High
CVSS3
Связанные уязвимости
Windows Uniscribe in Microsoft Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; Windows 10 Gold, 1511, 1607, 1703, and Server 2016; Office 2007 SP3; Office 2010 SP2; Word Viewer; Office for Mac 2011 and 2016; Skype for Business 2016; Lync 2013 SP1; Lync 2010; Lync 2010 Attendee; and Live Meeting 2007 Add-in and Console allows an attacker to obtain information to further compromise a user's system via a specially crafted document or an untrusted webpage, aka "Graphics Component Information Disclosure Vulnerability."
Windows Uniscribe in Microsoft Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; Windows 10 Gold, 1511, 1607, 1703, and Server 2016; Office 2007 SP3; Office 2010 SP2; Word Viewer; Office for Mac 2011 and 2016; Skype for Business 2016; Lync 2013 SP1; Lync 2010; Lync 2010 Attendee; and Live Meeting 2007 Add-in and Console allows an attacker to obtain information to further compromise a user's system via a specially crafted document or an untrusted webpage, aka "Graphics Component Information Disclosure Vulnerability."
EPSS
7.5 High
CVSS3