Уязвимость удаленного выполнения кода в Microsoft Project из-за некорректной проверки исходной разметки файла программным обеспечением
Описание
Если текущий пользователь вошел в систему с правами администратора, злоумышленник способен получить контроль над атакуемой системой. Это позволяет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами. Более ограниченные права пользователя могут несколько снизить последствия эксплуатации.
Условия эксплуатации
Для успешной эксплуатации уязвимости требуется, чтобы пользователь открыл специально подготовленный файл с уязвимой версией Microsoft Project. В сценарии атаки по электронной почте злоумышленник может отправить специально подготовленный проект или ресурсный файл пользователю и убедить его открыть данный файл.
Решение
Обновление безопасности устраняет уязвимость, корректируя процесс проверки исходного кода файла в Microsoft Project.
Часто задаваемые вопросы (FAQ)
Является ли Окно предпросмотра вектором атаки для данной уязвимости?
Нет, Окно предпросмотра не является вектором атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Project 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Project 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Project 2016 (32-bit edition) | ||
| Microsoft Project 2016 (64-bit edition) | ||
| Microsoft Project 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Project 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Office 2019 for 32-bit editions | - | |
| Microsoft Office 2019 for 64-bit editions | - | |
| Microsoft 365 Apps for Enterprise for 32-bit Systems | - | |
| Microsoft 365 Apps for Enterprise for 64-bit Systems | - |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
A remote code execution vulnerability exists in Microsoft Project software when the software fails to check the source markup of a file, aka 'Microsoft Project Remote Code Execution Vulnerability'.
A remote code execution vulnerability exists in Microsoft Project software when the software fails to check the source markup of a file, aka 'Microsoft Project Remote Code Execution Vulnerability'.
Уязвимость программного средства управления проектами Microsoft Project и пакета программ Microsoft Office, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольный код
EPSS