Уязвимость обхода функции безопасности в Microsoft Outlook из-за некорректной обработки настроек безопасности
Описание
В Microsoft Outlook существует уязвимость обхода функции безопасности, возникающая, когда Office не применяет настроенные системы безопасности. Злоумышленник, использующий эту уязвимость, способен заставить систему загрузить удаленные изображения, что может привести к раскрытию IP-адреса системы.
Условия эксплуатации
Для эксплуатации уязвимости пользователь должен открыть специально сформированное изображение в уязвимой версии программного обеспечения Microsoft Office. В сценарии атаки через электронную почту злоумышленник способен эксплуатировать уязвимость путем отправки специально созданного изображения пользователю.
Решение
Обновление устраняет уязвимость, изменяя способ обработки удаленных изображений в Outlook.
Часто задаваемые вопросы (FAQ)
Является ли Панель Предварительного просмотра вектором атаки для этой уязвимости?
Да, Панель Предварительного просмотра является вектором атаки.
Доступны ли обновления для Microsoft Office на Mac?
Обновление безопасности для Microsoft Office 2016 для Mac и Microsoft Office 2019 для Mac в настоящее время недоступно. Когда обновления станут доступны, покупатели будут уведомлены через ревизию этой информации CVE.
У меня установлен Microsoft Word 2010. Почему мне не предлагается обновление 4484378?
Обновление 4484378 применяется только к системам, работающим в определенных конфигурациях Microsoft Office 2010. Некоторые конфигурации не получат это обновление.
Если панель предварительного просмотра является вектором атаки, почему серьезность этой уязвимости оценивается как Важная, а не Критическая?
Несмотря на то, что панель предварительного просмотра является вектором атаки, злоумышленник не способен выполнить удаленное выполнение кода при успешной эксплуатации уязвимости, однако способен получить информацию о жертве.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Word 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Word 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Office 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2013 RT Service Pack 1 | ||
| Microsoft Word 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Word 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Word 2013 RT Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A security feature bypass vulnerability exists in Microsoft Outlook when Office fails to enforce security settings configured on a system, aka 'Microsoft Outlook Security Feature Bypass Vulnerability'.
A security feature bypass vulnerability exists in Microsoft Outlook when Office fails to enforce security settings configured on a system, aka 'Microsoft Outlook Security Feature Bypass Vulnerability'.
Уязвимость почтового клиента Microsoft Outlook, пакетов программ Microsoft Office и Office 365 и текстового редактора Microsoft Word, связанная с обходом функции безопасности, позволяющая нарушителю обойти существующие ограничения безопасности
EPSS