Уязвимость обхода защитной функции в Microsoft Office из-за некорректной верификации URL
Описание
Злоумышленник способен отправить жертве специально сформированный файл, который может заставить жертву ввести учетные данные. Успешная эксплуатация этой уязвимости позволяет злоумышленнику провести фишинговую атаку.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник отправляет жертве специально сформированный файл с невалидированными URL.
Решение
Обновление устраняет уязвимость, обеспечивая корректную верификацию URL в Microsoft Office.
Часто задаваемые вопросы (FAQ)
Изменится ли поведение после применения этого обновления?
После установки обновления, изменяется поведение документов, содержащих поле IncludePicture с отложенной загрузкой для онлайн-изображений, размещенных на ненадежных сайтах, которые требуют аутентификации для загрузки картинки.
До применения обновления отображалось диалоговое окно с запросом на аутентификацию пользователя.
После применения обновления изображение не будет отображаться, вместо него будет отображаться красный X. Если пользователь считает сайт безопасным, он может добавить его в список Доверенных узлов через Internet Explorer или Microsoft Edge, после чего онлайн-изображение может быть загружено. Это возможно, только если пользователь знает имя сайта, где размещено изображение.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft PowerPoint Viewer | ||
| Microsoft Office Word Viewer | ||
| Microsoft Office Compatibility Pack Service Pack 3 | ||
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2013 RT Service Pack 1 | - | |
| Microsoft Office 2016 (32-bit edition) | ||
| Microsoft Office 2016 (64-bit edition) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
A security feature bypass vulnerability exists when Microsoft Office does not validate URLs.An attacker could send a victim a specially crafted file, which could trick the victim into entering credentials, aka 'Microsoft Office Security Feature Bypass Vulnerability'.
A security feature bypass vulnerability exists when Microsoft Office does not validate URLs.An attacker could send a victim a specially crafted file, which could trick the victim into entering credentials, aka 'Microsoft Office Security Feature Bypass Vulnerability'.
Уязвимость пакета программ Microsoft Office, связанная с недостатками механизмов безопасности при проверке URL-адресов, позволяющая нарушителю перенаправить пользователя на вредоносный сайт
EPSS