Popis
Ve službě Microsoft Office bylo nalezeno několik závažných chyb. Škodlivé uživatele mohou tyto chyby zabezpečení zneužít k spuštění libovolného kódu nebo útoku XSS.
Níže je uveden úplný seznam chyb zabezpečení
- Nesprávné zacházení s paměťovými objekty lze vzdáleně využít pomocí speciálně vytvořeného souboru k provedení libovolného kódu;
- Nesprávné dezinfekce webových požadavků poskytované uživatelem v aplikaci SharePoint lze vzdáleně využívat prostřednictvím speciálně vytvořeného uživatelského obsahu k provádění skriptování mezi jednotlivými webovými stránkami.
- Neznámou zranitelnost lze vzdáleně využívat prostřednictvím speciálně vytvořeného souboru EPS ke spuštění libovolného kódu.
Technické údaje
Využití chyby zabezpečení (2) útočník musí mít možnost odeslat škodlivý obsah na cílové místo. Za určitých podmínek nebude uživatelský obsah dezinfikován. Když uživatel navštíví webovou stránku se škodlivým obsahem? skript může být spuštěn v kontextu zabezpečení uživatele.
(3) lze využít pomocí speciálně navržené grafiky EPS obsažené v kancelářském dokumentu nebo při vložení této grafiky do kancelářského dokumentu. Také, pokud je aplikace Word vybrána jako výchozí čtečka e-mailů (výchozí), pak by útočník mohl poslat speciálně vytvořený e-mail obsahující škodlivou grafiku EPS. V takových podmínkách využívání potřebuje minimální interakci uživatelů (náhled škodlivého e-mailu)
Oficiální doporučení
Související produkty
seznam CVE
seznam KB
- 3054813
- 3085487
- 3085501
- 3085502
- 3085543
- 3085483
- 3088502
- 3088501
- 3054995
- 3054987
- 3054993
- 3089664
- 3054932
- 3054965
- 3085526
Zobrazit více
Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com