Уязвимость спуфинга в Microsoft Office из-за некорректной проверки достоверности веб-страницы, запрашивающей документы Office
Описание
Уязвимость спуфинга существует в Microsoft Office, так как Javascript не валидирует достоверность веб-страницы, которая делает запрос к документам Office. Злоумышленник, успешно воспользовавшийся этой уязвимостью, способен читать или записывать данные в Office-документах.
Условия эксплуатации
Для успешной эксплуатации этой уязвимости злоумышленнику требуется воспользоваться особенностью Javascript в Microsoft Office, который некорректно валидирует ня веб-страницу, делающую запрос.
Решение
Обновление безопасности устраняет эту уязвимость путем исправления метода, которым Microsoft Office Javascript валидирует доверенные веб-страницы.
Часто задаваемые вопросы (FAQ)
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Да, если пользователь установил Office Add-in и затем открывает электронное письмо, использующее этот Add-in в Панели предварительного просмотра, реклама, встроенная в Add-in, может привести к тому, что Окно предпросмотра станет вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Office 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2013 RT Service Pack 1 | ||
| Microsoft Office 2016 (32-bit edition) | ||
| Microsoft Office 2016 (64-bit edition) | ||
| Microsoft Office 2019 for 32-bit editions | -- | |
| Microsoft Office 2019 for 64-bit editions | -- | |
| Office 365 ProPlus for 32-bit Systems | -- | |
| Office 365 ProPlus for 64-bit Systems | -- |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A spoofing vulnerability exists when Microsoft Office Javascript does not check the validity of the web page making a request to Office documents.An attacker who successfully exploited this vulnerability could read or write information in Office documents.The security update addresses the vulnerability by correcting the way that Microsoft Office Javascript verifies trusted web pages., aka 'Microsoft Office Spoofing Vulnerability'.
A spoofing vulnerability exists when Microsoft Office Javascript does not check the validity of the web page making a request to Office documents.An attacker who successfully exploited this vulnerability could read or write information in Office documents.The security update addresses the vulnerability by correcting the way that Microsoft Office Javascript verifies trusted web pages., aka 'Microsoft Office Spoofing Vulnerability'.
Уязвимость обработчика Javascript-сценариев пакета программ Microsoft Office, позволяющая нарушителю читать или записывать произвольные данные
EPSS