CVE-2018-8147

Описание

Злоумышленник, который успешно эксплуатирует данную уязвимость, способен выполнять произвольный код с правами текущего пользователя. Если текущий пользователь входит в систему с правами администратора, злоумышленник способен получить контроль над затронутой системой, устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи настроены с меньшими правами на системе, могут быть менее подвержены воздействию, чем пользователи с правами администратора.

Условия эксплуатации

Эксплуатация уязвимости требует, чтобы пользователь открыл специально подготовленный файл в уязвимой версии Microsoft Excel.

• В сценарии атаки через электронную почту злоумышленник способен использовать уязвимость, отправив специально подготовленный файл пользователю и убедив его открыть файл.

• В сценарии атаки на основе веб-технологий злоумышленник способен разместить на сайте (или воспользоваться скомпрометированным сайтом, который принимает или размещает контент, предоставленный пользователями) специально подготовленный файл, созданный для эксплуатации уязвимости. Злоумышленник не способен заставить пользователя перейти на сайт. Вместо этого злоумышленник должен убедить пользователя кликнуть по ссылке, обычно через заманчивое предложение в электронном письме или сообщении, и затем убедить их открыть специально подготовленный файл.

Решение

Обновление безопасности устраняет уязвимость, исправляя то, как Microsoft Excel обрабатывает объекты в памяти.

Часто задаваемые вопросы (FAQ)

Почему мне предложено это обновление для программного обеспечения, которое не указано как затронутое в таблице "Затронутое программное обеспечение и рейтинг серьезности уязвимостей"?

Когда обновления исправляют уязвимый код, который существует в компоненте, разделяемом между несколькими продуктами Microsoft Office или между несколькими версиями одного и того же продукта Microsoft Office, обновление считается применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.

Например, когда обновление применимо к продуктам Microsoft Office 2007, только Microsoft Office 2007 может быть указано в таблице затронутого программного обеспечения. Однако обновление может применяться к Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer или другим продуктам Microsoft Office 2007, не указанным в таблице затронутого программного обеспечения. Подобно этому, когда обновление применимо к продуктам Microsoft Office 2010, только Microsoft Office 2010 может быть указано в таблице затронутого программного обеспечения. Однако обновление может применяться к Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или иным продуктам Microsoft Office 2010, не указанным в таблице.

Для дополнительной информации об этом поведении и рекомендованных действиях, смотрите статью базы знаний Microsoft 830335. Для списка продуктов Microsoft Office, к которым может быть применено обновление, обратитесь к статье Microsoft Knowledge Base, связанной с конкретным обновлением.