Уязвимость повреждения памяти в Microsoft Office из-за некорректной обработки объектов
Описание
Злоумышленник, успешно использующий уязвимость, способен выполнить произвольный код с правами текущего пользователя. Если пользователь вошел в систему с правами администратора, злоумышленник способен получить контроль над системой. Он также может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя. Пользователи, чьи учетные записи настроены на ограниченные права, менее подвержены риску по сравнению с пользователями, работающими с правами администратора.
Условия эксплуатации
Эксплуатация уязвимости требует, чтобы пользователь открыл специально подготовленный файл с уязвимой версией программ Microsoft Office или Microsoft WordPad. В сценарии атаки по электронной почте злоумышленник способен использовать уязвимость, отправив специально подготовленный файл пользователю и убедив его открыть файл. В сценарии веб-атаки злоумышленник способен разместить файл на веб-сайте (или использовать скомпрометированный сайт, принимающий или размещающий пользовательский контент), созданный для использования уязвимости. Злоумышленник не имеет возможности заставить пользователя посетить сайт. Вместо этого ему нужно убедить пользователя кликнуть на ссылку, обычно через заманчивое сообщение в электронной почте или в мессенджере, и затем убедить их открыть специально подготовленный файл.
Решение
Обновление безопасности устраняет уязвимость путем удаления функциональности редактора уравнений. Для получения дополнительной информации об этом изменении, пожалуйста, обратитесь к следующей статье: https://support.microsoft.com/en-us/help/4057882
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Office Compatibility Pack Service Pack 3 | ||
| Microsoft Office 2007 Service Pack 3 | ||
| Microsoft Word 2007 Service Pack 3 | ||
| Microsoft Word 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Word 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Word 2013 Service Pack 1 (32-bit editions) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
Equation Editor in Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, and Microsoft Office 2016 allow a remote code execution vulnerability due to the way objects are handled in memory, aka "Microsoft Office Memory Corruption Vulnerability". This CVE is unique from CVE-2018-0797 and CVE-2018-0812.
Equation Editor in Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, and Microsoft Office 2016 allow a remote code execution vulnerability due to the way objects are handled in memory, aka "Microsoft Office Memory Corruption Vulnerability". This CVE is unique from CVE-2018-0797 and CVE-2018-0812.
Уязвимость редактора математических формул и уравнений текстового редактора Microsoft Word, пакета программ Microsoft Office и пакета обеспечения совместимости Microsoft Office Compatibility Pack, текстового редактора Microsoft Word, позволяющая нарушителю выполнить произвольный код
EPSS