CVE-2018-8157

Описание

Злоумышленник, успешно эксплуатировавший уязвимость, способен выполнить произвольный код с правами текущего пользователя. Если пользователь имеет права администратора, злоумышленник способен получить контроль над системой. Злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Пользователи, чьи учетные записи настроены с меньшими правами, менее подвержены риску.

Условия эксплуатации

Для эксплуатации уязвимости пользователю необходимо открыть специально созданный файл в уязвимой версии Microsoft Office.

• В сценарии атаки по электронной почте злоумышленник способен воспользоваться уязвимостью, отправив специально подготовленный файл и убедив пользователя его открыть.

• В сценарии веб-атаки злоумышленник может разместить файл на сайте (или использовать скомпрометированный сайт, принимающий или размещающий пользовательский контент), чтобы воспользоваться уязвимостью. Злоумышленник не может заставить пользователя посетить сайт, но способен убедить их кликнуть по ссылке через заманчивое предложение в электронном письме или мгновенном сообщении и открыть специально подготовленный файл.

Решение

Обновление безопасности устраняет уязвимость, корректируя то, как Microsoft Office обрабатывает объекты в памяти.

Часто задаваемые вопросы (FAQ)

Почему мне предлагается это обновление для программного обеспечения, которое не указано в таблице "Затронутые продукты и оценки серьезности" как уязвимое?

Когда обновления касаются уязвимого кода в компоненте, который используется несколькими продуктами Microsoft Office или несколькими версиями одного и того же продукта Microsoft Office, обновление считаются применимым ко всем поддерживаемым продуктам и версиям, содержащим уязвимый компонент.

Например, когда обновление применяется к продуктам Microsoft Office 2007, в таблице "Затронутые продукты" может быть указано только Microsoft Office 2007. Однако обновление может касаться Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, пакета совместимости Microsoft, Microsoft Excel Viewer или любой другой продукт Microsoft Office 2007, не указанный в таблице. Кроме того, когда обновление применяется к продуктам Microsoft Office 2010, в таблице "Затронутые продукты" может быть указано только Microsoft Office 2010. Однако обновление может касаться Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer или любого другого продукта Microsoft Office 2010, не указанного в таблице.

Для получения дополнительной информации об этом поведении и рекомендуемых действиях ознакомьтесь со статьей в базе знаний Microsoft по ссылке: Статья базы знаний Microsoft 830335. Для списка продуктов Microsoft Office, к которым может применяться обновление, обратитесь к статье в базе знаний Microsoft, связанной с конкретным обновлением.