CVE-2018-1030

Описание

Злоумышленник, успешно воспользовавшийся этой уязвимостью, способен выполнять произвольный код с правами текущего пользователя. Если текущий пользователь авторизован с правами администратора, злоумышленник способен получить контроль над системой. В этом случае злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, либо создавать новые учетные записи с полными правами. Пользователи, чьи учетные записи имеют меньше прав на системе, могут быть менее подвержены риску по сравнению с пользователями, имеющими права администратора.

Условия эксплуатации

Для эксплуатации уязвимости требуется, чтобы пользователь открыл специально подготовленный файл с уязвимой версией Microsoft Office.

• В сценарии атаки через электронную почту злоумышленник способен отправить специально подготовленный файл пользователю и убедить его открыть этот файл.

• В случае веб-атаки злоумышленник может разместить специально подготовленный файл на веб-сайте (или использовать скомпрометированный сайт, принимающий или размещающий пользовательский контент), предназначенный для эксплуатации уязвимости. Злоумышленник не способен принудить пользователей посетить сайт; вместо этого злоумышленник должен убедить пользователя кликнуть по ссылке, обычно через заманчивое предложение в электронном письме или мгновенном сообщении, а затем открыть специально подготовленный файл.

Решение

Обновление безопасности устраняет уязвимость, корректируя способ обработки объектов в памяти Microsoft Office.

Часто задаваемые вопросы (FAQ)

Почему мне предлагается это обновление для программного обеспечения, которое не указано как уязвимое в таблице уязвимого ПО и рейтингов опасности?

Когда обновления применяются к уязвимому коду, находящемуся в компоненте, который используется несколькими продуктами Microsoft Office или несколькими версиями одного и того же продукта, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.

Например, когда обновление применяется к продуктам Microsoft Office 2007, в таблице уязвимого ПО может быть указана только Microsoft Office 2007. Однако обновление может применяться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer или другому продукту Microsoft Office 2007, не указанному в таблице уязвимого ПО. Аналогично, когда обновление применяется к продуктам Microsoft Office 2010, в таблице уязвимого ПО может быть указана только Microsoft Office 2010. Однако обновление может применяться к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или другому продукту Microsoft Office 2010, не указанному в таблице уязвимого ПО.

Для получения подробной информации об этом поведении и рекомендуемых действиях см. Статью из базы знаний Microsoft 830335. Для получения списка продуктов Microsoft Office, к которым может применяться обновление, обратитесь к статье из базы знаний Microsoft, связанной с конкретным обновлением.