Уязвимость утечки информации в Microsoft Office из-за некорректной инициализации переменной
Описание
Уязвимость утечки информации существует в Microsoft Office, когда программное обеспечение считывает данные за границами памяти из-за неинициализированной переменной, что может привести к раскрытию данных из памяти. Злоумышленник, успешно эксплуатировавший уязвимость, способен просматривать содержимое памяти, находящееся за пределами установленных границ.
Условия эксплуатации
Эксплуатация уязвимости требует, чтобы пользователь открыл специально подготовленный файл с уязвимой версией Microsoft Office.
Решение
Обновление безопасности устраняет уязвимость, правильно инициализируя затронутую переменную.
Часто задаваемые вопросы (FAQ)
У меня установлена версия Microsoft Word 2010. Почему мне не предлагается обновление 4011673?
Обновление 4011673 применимо только к системам, работающим с определенными конфигурациями Microsoft Office 2010. Некоторые конфигурации не будут получать это обновление.
Почему мне предлагается это обновление для программного обеспечения, которое не указано в таблице "Затронутое программное обеспечение и степени опасности уязвимости"?
Когда обновления касаются уязвимого кода, который существует в компоненте, совместно используемом несколькими продуктами Microsoft Office или несколькими версиями одного и того же продукта Microsoft Office, обновление считается применимым для всех поддерживаемых продуктов и версий, содержащих уязвимый компонент.
Например, если обновление относится к продуктам Microsoft Office 2007, то в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2007. Однако обновление может быть применимо к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer или любому другому продукту Microsoft Office 2007, который не указан в таблице. Далее, если обновление относится к продуктам Microsoft Office 2010, в таблице "Затронутое программное обеспечение" может быть указано только Microsoft Office 2010. Обновление может быть применимо к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любому другому продукту Microsoft Office 2010, который не указан в таблице.
Для получения дополнительной информации об этом поведении и рекомендованных действиях см. статью базы знаний Microsoft 830335. Для списка продуктов Microsoft Office, к которым может быть применимо обновление, обратитесь к статье базы знаний Microsoft, связанной с конкретным обновлением.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Server 2010 Service Pack 2 | ||
| Microsoft Word 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Word 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office Web Apps 2010 Service Pack 2 | ||
| Microsoft Word 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Word 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Word 2013 RT Service Pack 1 | - | |
| Microsoft Office Web Apps Server 2013 Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
Microsoft Office 2010 SP2, 2013 SP1, and 2016, Microsoft Office 2016 Click-to-Run Microsoft Office 2016 for Mac, Microsoft Office Web Apps 2010 SP2, Microsoft Office Web Apps 2013 SP1, Microsoft SharePoint Enterprise Server 2013 SP1, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Server 2010 SP2, Microsoft Word 2010 SP2, Word 2013 SP1 and Microsoft Word 2016 allow an information disclosure vulnerability due to how variables are initialized, aka "Microsoft Office Information Disclosure Vulnerability".
Microsoft Office 2010 SP2, 2013 SP1, and 2016, Microsoft Office 2016 Click-to-Run Microsoft Office 2016 for Mac, Microsoft Office Web Apps 2010 SP2, Microsoft Office Web Apps 2013 SP1, Microsoft SharePoint Enterprise Server 2013 SP1, Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Server 2010 SP2, Microsoft Word 2010 SP2, Word 2013 SP1 and Microsoft Word 2016 allow an information disclosure vulnerability due to how variables are initialized, aka "Microsoft Office Information Disclosure Vulnerability".
EPSS