Уязвимость удаленного выполнения кода в Microsoft Word из-за некорректной обработки объектов в памяти
Описание
Злоумышленник, успешно использующий уязвимость, способен с помощью специально созданного файла выполнять действия в контексте безопасности текущего пользователя.
Условия эксплуатации
Для эксплуатации уязвимости пользователь должен открыть специально созданный файл в уязвимой версии Microsoft Word.
-
В сценарии атаки через электронную почту злоумышленник способен использовать уязвимость, отправив пользователю специально созданный файл и убедив его открыть его.
-
В сценарии атаки через интернет злоумышленник может разместить сайт (или воспользоваться скомпрометированным сайтом, принимающим или размещающим контент от пользователей), содержащий специально созданный файл, предназначенный для эксплуатации уязвимости. Однако злоумышленник не способен заставить пользователя посетить сайт. Вместо этого злоумышленнику потребуется убедить пользователя кликнуть по ссылке, обычно при помощи заманивания в письме или сообщении в мессенджере, и затем убедить пользователя открыть специально созданный файл.
Решение
Обновление безопасности исправляет уязвимость, корректируя обработку файлов в памяти Microsoft Word.
Часто задаваемые вопросы (FAQ)
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Нет, Окно предпросмотра не является вектором атаки.
Почему обновление 4475598 не предложено мне, если у меня установлен Microsoft Word 2010?
Обновление 4475598 применимо только к системам с определенными конфигурациями Microsoft Office 2010. Некоторые конфигурации не будут предложены для обновления.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Word 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Word 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Word 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Word 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Word 2013 RT Service Pack 1 | ||
| Microsoft Word 2016 (32-bit edition) | ||
| Microsoft Word 2016 (64-bit edition) | ||
| Microsoft Office 2019 for 32-bit editions | - |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A denial of service vulnerability exists in Microsoft Word software when the software fails to properly handle objects in memory, aka 'Microsoft Word Denial of Service Vulnerability'.
A denial of service vulnerability exists in Microsoft Word software when the software fails to properly handle objects in memory, aka 'Microsoft Word Denial of Service Vulnerability'.
Уязвимость текстового редактора Microsoft Word, пакетов программ Microsoft Office и Office 365, позволяющая нарушителю выполнить произвольный код
EPSS