Уязвимость выполнения удаленного кода в Microsoft Word из-за некорректной обработки объектов в памяти программой Word
Описание
Злоумышленник, который успешно воспользуется данной уязвимостью, способен использовать специально созданный файл для выполнения действий в контексте безопасности текущего пользователя. Этот файл может выполнять действия от имени авторизованного пользователя с теми же правами.
Условия эксплуатации
Для эксплуатации уязвимости пользователь должен открыть специально подготовленный файл в уязвимой версии Microsoft Word. Возможны два сценария атаки через электронную почту:
- Злоумышленник отправляет специально созданное электронное письмо пользователю и дожидается, пока тот его откроет. Когда сообщение отображается через Microsoft Word в предварительном просмотре Outlook, атака может быть инициирована.
- Злоумышленник прикрепляет специально созданный файл к письму, отправляет его пользователю и убеждает его открыть.
В сценарии веб-атаки злоумышленник способен разместить сайт (или использовать скомпрометированный сайт), содержащий файл, созданный для эксплуатации уязвимости. Однако злоумышленник не способен принудительно заставить пользователя посетить сайт. Вместо этого злоумышленник убеждает пользователя кликнуть по ссылке, обычно через заманчивое предложение в электронном письме или другом сообщении, а затем открыть специально подготовленный файл.
Решение
Обновление безопасности устраняет уязвимость путем корректировки обработки файлов в памяти Microsoft Word.
Для пользователей, которые просматривают электронные письма в Outlook, вектор атаки через предварительный просмотр можно смягчить, отключив эту функцию. Следующие ключи реестра могут быть установлены для отключения панели предварительного просмотра в Outlook на Windows, либо вручную, либо путем изменения групповой политики.
Важно
Некорректное использование редактора реестра может спровоцировать серьезные проблемы, требующие переустановки операционной системы. Microsoft не гарантирует, что ошибки, возникающие в результате некорректного использования редактора реестра, будут решены. Используйте редактор реестра на свой риск. Информация о том, как изменить реестр, доступна в теме справки "Изменение ключей и значений" в редакторе реестра (Regedit.exe) или в "Добавление и удаление информации в реестре" и "Изменение данных реестра" в Regedt32.exe.
Outlook 2010:
- HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Options
- DWORD: DisableReadingPane
- Значение: 1
Outlook 2013:
- HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Options
- DWORD: DisableReadingPane
- Значение: 1
Outlook 2016, Outlook 2019 и Office 365 ProPlus:
- HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options
- DWORD: DisableReadingPane
- Значение: 1
Часто задаваемые вопросы (FAQ)
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Да, Окно предпросмотра является вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Office 2016 for Mac | ||
| Microsoft Office 2019 for 32-bit editions | - | |
| Microsoft Office 2019 for 64-bit editions | - | |
| Microsoft Office 2019 for Mac | ||
| Office 365 ProPlus for 32-bit Systems | - | |
| Office 365 ProPlus for 64-bit Systems | - | |
| Microsoft SharePoint Server 2019 | ||
| Microsoft Office Online Server |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A remote code execution vulnerability exists in Microsoft Word software when it fails to properly handle objects in memory. An attacker who successfully exploited the vulnerability could use a specially crafted file to perform actions in the security context of the current user. The file could then take actions on behalf of the logged-on user with the same permissions as the current user. To exploit the vulnerability, a user must open a specially crafted file with an affected version of Microsoft Word software. Two possible email attack scenarios exist for this vulnerability: With the first email attack scenario, an attacker could send a specially crafted email message to the user and wait for the user to click on the message. When the message renders via Microsoft Word in the Outlook Preview Pane, an attack could be triggered. With the second scenario, an attacker could attach a specially crafted file to an email, send it to a user, and convince them to open it. In a web-based attac
A remote code execution vulnerability exists in Microsoft Word software when it fails to properly handle objects in memory, aka 'Microsoft Word Remote Code Execution Vulnerability'. This CVE ID is unique from CVE-2019-1201.
Уязвимость текстового редактора Microsoft Word, связанная с ошибками обработки объектов в памяти, позволяющая нарушителю выполнить произвольный код
EPSS