Уязвимость утечки информации в Microsoft Word из-за некорректного предоставления доступа к содержимому памяти
Описание
Злоумышленник, воспользовавшийся этой уязвимостью, способен использовать информацию для компрометации компьютера или данных пользователя.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленник должен создать специальный документ и убедить пользователя открыть его. Злоумышленнику необходимо знать адрес памяти, где был создан объект.
Решение
Обновление устраняет уязвимость, изменяя способ обработки некоторых функций Word с объектами в памяти.
Часто задаваемые вопросы (FAQ)
Какой тип информации может быть раскрыт из-за этой уязвимости?
Тип информации, который может быть раскрыт при успешной эксплуатации этой уязвимости, — неинициализированная память.
Является ли Окно предпросмотра вектором атаки для этой уязвимости?
Нет, Окно предпросмотра не является вектором атаки.
У меня установлен Microsoft Office 2010. Почему мне не предлагается обновление 4484492?
Обновление 4484492 применяется только к системам с определенными конфигурациями Microsoft Office 2010. Некоторые конфигурации не получат это обновление.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SharePoint Server 2010 Service Pack 2 | ||
| Microsoft Word 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Word 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (32-bit editions) | ||
| Microsoft Office 2010 Service Pack 2 (64-bit editions) | ||
| Microsoft Office Web Apps 2010 Service Pack 2 | ||
| Microsoft Word 2013 Service Pack 1 (32-bit editions) | ||
| Microsoft Word 2013 Service Pack 1 (64-bit editions) | ||
| Microsoft Word 2013 RT Service Pack 1 | - | |
| Microsoft Office Web Apps 2013 Service Pack 1 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
Связанные уязвимости
An information disclosure vulnerability exists when Microsoft Word improperly discloses the contents of its memory. An attacker who exploited the vulnerability could use the information to compromise the user’s computer or data. To exploit the vulnerability, an attacker could craft a special document file and then convince the user to open it. An attacker must know the memory address location where the object was created. The update addresses the vulnerability by changing the way certain Word functions handle objects in memory.
An information disclosure vulnerability exists when Microsoft Word improperly discloses the contents of its memory, aka 'Microsoft Word Information Disclosure Vulnerability'. This CVE ID is unique from CVE-2020-1502, CVE-2020-1503.
Уязвимость текстового редактора Microsoft Word, связанная с ошибками обработки объектов в памяти, позволяющая нарушителю раскрыть защищаемую информацию
EPSS