CVE-2018-0851

Описание

Если текущий пользователь авторизован с правами администратора, злоумышленник способен получить контроль над системой: устанавливать программы, просматривать, изменять или удалять данные либо создавать новые учетные записи с полными правами пользователя. Пользователи с ограниченными правами подвергаются меньшему риску, чем пользователи с правами администратора.

Условия эксплуатации

Для эксплуатации уязвимости необходимо, чтобы пользователь открыл специально сформированный файл в уязвимой версии Microsoft Office. В сценарии атаки через электронную почту злоумышленник может отправить пользователю такой файл и убедить его открыть его. В сценарии веб-атаки злоумышленник может разместить на сайте (или использовать скомпрометированный сайт, который принимает или размещает пользовательский контент) специально сформированный файл для эксплуатации уязвимости. Злоумышленник не может принудить пользователя посетить сайт; потребуется убедить его кликнуть по ссылке, например, через письмо или мгновенное сообщение, а затем открыть файл.

Отметим, что Окно предпросмотра не является вектором атаки для этой уязвимости.

Решение

Обновление безопасности устраняет уязвимость, исправляя способ обработки объектов в памяти программным обеспечением Office.

Часто задаваемые вопросы (FAQ)

Мне предложено обновление для программного обеспечения, не указанного в таблице "Уязвимое ПО и Оценка Серьезности". Почему?

Когда обновления адресуют уязвимый код в компоненте, который используется между несколькими продуктами Microsoft Office или между несколькими версиями одного и того же продукта, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент. Например, если обновление применяется к продуктам Microsoft Office 2007, только Microsoft Office 2007 может быть специально указан в таблице. Однако обновление может также применяться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer или любому другому продукту Microsoft Office 2007, который не указан в таблице. Также обновление может быть применимо к продуктам Microsoft Office 2010, хотя в таблице может быть указан только Microsoft Office 2010.

Почему существует отдельное обновление для Word Viewer?

Обновление Word Viewer (4011703) поддерживается и будет установлено через Microsoft Update только в том случае, если оно установлено в Windows Embedded POSReady 2009, так как Word Viewer поставляется предустановленным в Windows Embedded POSReady 2009, который все еще находится на поддержке. На других платформах Word Viewer более не поддерживается.