Уязвимость в Microsoft Word, связанная с выполнением удаленного кода из-за некорректной обработки объектов в памяти программой
Описание
Злоумышленник, успешно эксплуатировавший уязвимость, способен использовать специально созданный файл для выполнения действий в контексте безопасности текущего пользователя. Этот файл способен выполнять действия от имени вошедшего в систему пользователя с его же правами.
Условия эксплуатации
Для эксплуатации уязвимости пользователь должен открыть специально созданный файл с уязвимой версией программного обеспечения Microsoft Word.
Сценарии атак по электронной почте:
- В первом сценарии злоумышленник способен отправить специально оформленное электронное письмо пользователю и ожидать, пока тот не кликнет по сообщению. Когда сообщение отображается в Microsoft Word в панели предварительного просмотра Outlook, атака может быть инициирована.
- Во втором сценарии злоумышленник прикладывает специально созданный файл к письму, отправляет его пользователю и убеждает его открыть файл.
Веб-ориентированный сценарий атаки:
Злоумышленник способен разместить веб-сайт (или использовать скомпрометированный сайт, который принимает или размещает контент, предоставленный пользователями), содержащий специально созданный файл, разработанный для эксплуатации уязвимости. Однако злоумышленник не может заставить пользователя посетить веб-сайт. Вместо этого ему нужно убедить пользователя кликнуть на ссылку, обычно с помощью заманивания в электронном письме или другом сообщении, а затем убедить открыть специально созданный файл.
Решение
Обновление безопасности исправляет уязвимость, исправляя обработку файлов в памяти Microsoft Word.
Для пользователей, просматривающих свою почту в Outlook, можно смягчить вектор атаки посредством панели предварительного просмотра, отключив эту функцию. Следующие ключи реестра могут быть установлены для отключения панели предварительного просмотра в Outlook на Windows, либо вручную редактируя реестр, либо изменяя групповую политику.
Отключение панели предварительного просмотра:
Outlook 2010:
Outlook 2013:
Outlook 2016, Outlook 2019 и Office 365 ProPlus:
Примечание: Некорректное использование редактора реестра может привести к серьезным проблемам, требующим переустановки операционной системы. Microsoft не гарантирует, что проблемы, возникшие в результате некорректного использования редактора реестра, могут быть решены. Используйте редактор реестра на свой страх и риск.
Часто задаваемые вопросы (FAQ)
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Да, Окно предпросмотра является вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Server 2010 Service Pack 2 | ||
| Microsoft Word 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Word 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office Web Apps 2010 Service Pack 2 | ||
| Microsoft Word 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Word 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Word 2013 RT Service Pack 1 | - | |
| Microsoft Office Web Apps Server 2013 Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A remote code execution vulnerability exists in Microsoft Word software when it fails to properly handle objects in memory. An attacker who successfully exploited the vulnerability could use a specially crafted file to perform actions in the security context of the current user. The file could then take actions on behalf of the logged-on user with the same permissions as the current user. To exploit the vulnerability, a user must open a specially crafted file with an affected version of Microsoft Word software. Two possible email attack scenarios exist for this vulnerability: • With the first email attack scenario, an attacker could send a specially crafted email message to the user and wait for the user to click on the message. When the message renders via Microsoft Word in the Outlook Preview Pane, an attack could be triggered. • With the second scenario, an attacker could attach a specially crafted file to an email, send it to a user, and convince them to open it. In a web-based
A remote code execution vulnerability exists in Microsoft Word software when it fails to properly handle objects in memory, aka 'Microsoft Word Remote Code Execution Vulnerability'. This CVE ID is unique from CVE-2019-1205.
Уязвимость пакетов программ Microsoft SharePoint, Microsoft Office, Office 365 и текстового редактора Microsoft Word, позволяющая нарушителю выполнить произвольный код
EPSS