Уязвимость утечки информации в Microsoft Word из-за некорректного раскрытия содержимого памяти при обработке объектов
Описание
Злоумышленник, использующий уязвимость, способен использовать информацию для компрометации компьютера или данных пользователя.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник способен создать специальный файл-документ и затем убедить пользователя открыть его. Злоумышленник должен знать адрес памяти, где был создан объект.
Решение
Обновление устраняет уязвимость путем изменения способа, которым определенные функции Microsoft Word обрабатывают объекты в памяти.
Часто задаваемые вопросы (FAQ)
Какой тип информации может быть раскрыт из-за этой уязвимости?
Тип информации, который способен быть раскрыт при успешной эксплуатации уязвимости, это неинициализированная память.
Является ли панель предварительного просмотра вектором для этой атаки?
Нет, панель предварительного просмотра не является вектором для этой атаки.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft Office 2019 for 32-bit editions | - | |
| Microsoft Office 2019 for 64-bit editions | - | |
| Microsoft SharePoint Server 2019 | ||
| Microsoft Office Online Server | ||
| Microsoft 365 Apps for Enterprise for 32-bit Systems | - | |
| Microsoft 365 Apps for Enterprise for 64-bit Systems | - |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
An information disclosure vulnerability exists when Microsoft Word improperly discloses the contents of its memory. An attacker who exploited the vulnerability could use the information to compromise the user’s computer or data. To exploit the vulnerability, an attacker could craft a special document file and then convince the user to open it. An attacker must know the memory address location where the object was created. The update addresses the vulnerability by changing the way certain Word functions handle objects in memory.
An information disclosure vulnerability exists when Microsoft Word improperly discloses the contents of its memory, aka 'Microsoft Word Information Disclosure Vulnerability'. This CVE ID is unique from CVE-2020-1503, CVE-2020-1583.
Уязвимость программ Microsoft Office, Microsoft Office Online Server и SharePoint Server, связанная с ошибками обработки объектов в памяти, позволяющая нарушителю раскрыть защищаемую информацию
EPSS