Уязвимость утечки информации в Microsoft Office из-за некорректной инициализации переменной
Описание
Уязвимость утечки информации существует в Microsoft Office, когда программное обеспечение считывает данные за пределами выделенной памяти из-за неинициализированной переменной. Это может привести к раскрытию содержимого памяти. Злоумышленник, успешно воспользовавшийся уязвимостью, способен просматривать данные, находящиеся за пределами выделенной памяти.
Условия эксплуатации
Для эксплуатации уязвимости требуется, чтобы пользователь открыл специально сформированный файл в уязвимой версии Microsoft Office.
Решение
Обновление безопасности устраняет уязвимость путем корректной инициализации затронутой переменной.
Дополнительная информация
Почему мне предлагается это обновление для программ, которые не указаны как затронутые в таблице Затронутого ПО и Оценки серьезности уязвимостей?
Когда обновления исправляют уязвимый код в компоненте, который является общим для нескольких продуктов Microsoft Office или для нескольких версий одного продукта, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим этот уязвимый компонент. Например, если обновление применяется к продуктам Microsoft Office 2007, в таблице может быть указано только Microsoft Office 2007. Однако обновление может распространяться на Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer или любой другой продукт Microsoft Office 2007, не перечисленный в таблице. Аналогично, для Microsoft Office 2010, обновление может затрагивать Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010 и другие продукты, не указанные в таблице.
Подробнее об этом поведении и рекомендуемых действиях можно узнать в статье базы знаний Microsoft 830335. Для получения списка продуктов Microsoft Office, к которым может применяться обновление, ознакомьтесь с соответствующей статьей базы знаний Microsoft, связанной с конкретным обновлением.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2013 RT Service Pack 1 | - | |
| Microsoft Office 2016 (32-bit edition) | ||
| Microsoft Office 2016 (64-bit edition) | ||
| Microsoft Office 2016 Click-to-Run (C2R) for 32-bit editions | - | |
| Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions | - |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
Microsoft Office 2010 SP2, Microsoft Office 2013 SP1 and RT SP1, Microsoft Office 2016, and Microsoft Office 2016 Click-to-Run (C2R) allow an information disclosure vulnerability, due to how Office initializes the affected variable, aka "Microsoft Office Information Disclosure Vulnerability".
Microsoft Office 2010 SP2, Microsoft Office 2013 SP1 and RT SP1, Microsoft Office 2016, and Microsoft Office 2016 Click-to-Run (C2R) allow an information disclosure vulnerability, due to how Office initializes the affected variable, aka "Microsoft Office Information Disclosure Vulnerability".
EPSS