BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER. Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Kaspersky ID:
KLA10616
Bulunma tarihi:
12/09/2014
Yüklendi:
07/05/2018

Açıklama

Microsoft Office ürünlerinde birden çok ciddi güvenlik açığı bulundu. Kötü niyetli kullanıcılar, bu güvenlik açıklarını rasgele kod çalıştırma, hizmet reddi, dürüstlük kaybı, güvenlik atlama, ayrıcalık yükseltme ve hassas bilgiler elde etme amacıyla kullanabilir.

Aşağıda güvenlik açıklarının tam listesi

  1. Microsoft Office, uygun kullanıcı bağlamında rasgele kod yürütmesine neden olabilecek hazırlanmış Office dosyalarını ayrıştırırken nesneleri bellekteki düzgün olmayan bir şekilde işler. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir.
  2. Microsoft IME (Japonca) bileşenindeki güvenlik açığı, oturum açmış kullanıcı hakları ile etkilenen sisteme erişim elde edilmesine yol açabilir. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir.
  3. MSCOMCTL ortak denetimler kitaplığı, ASLR güvenlik özelliğini, hazırlanmış web sitesi aracılığıyla baypas etmesine yol açabilecek ASLR'yi düzgün şekilde uygulamıyor. Bu güvenlik açığı "MSCOMCTL ASLR Güvenlik Açığı" olarak da bilinir.
  4. Microsoft Office, web sitesi aracılığıyla bir Office belgesini açarken, hassas belirteci bilgilerinin elde edilmesine yol açabilecek şekilde hazırlanmış bir yanıtı düzgün işlemez. Bu bilgi, geçerli kullanıcının hedeflenen bir Microsoft çevrimiçi hizmetinde doğrulanması için kullanılabilir. Bu güvenlik açığı "Token Yeniden Kullanılabilirlik Güvenlik Açığı" olarak da bilinir.
  5. Microsoft Publisher kütüphanesindeki pubconv.dll'deki güvenlik açığı, geçerli kullanıcı olarak '.pub' uzantısına sahip hazırlanmış dosyalar aracılığıyla yürütme keyfi kod çalıştırılmasına neden olabilir. Bu güvenlik açığı "Keyword Pointer Dereference Vulnerability" olarak da bilinir.
  6. Microsoft Office, özel hazırlanmış dosyaları daha rasgele kod yürütmesine neden olabilecek daha yeni bir formata dönüştürürken yanlış bellek ayırdı. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir.
  7. Microsoft Word'de özel hazırlanmış belgeler açılırken yığın arabellek taşması güvenlik açığı bulunmaktadır. Bu güvenlik açığı geçerli kullanıcı olarak isteğe bağlı kod çalıştırılmasına neden olabilir. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir. Bu güvenlik açığı "Microsoft Word Yığın Taşması Güvenlik Açığı" olarak da bilinir.
  8. Microsoft Word'de, özel hazırlanmış RTF verilerini ayrıştırırken uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığı geçerli kullanıcı olarak isteğe bağlı kod çalıştırılmasına neden olabilir. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir.
  9. Microsoft Office'in hazırlanmış Office belgesini açarken uzaktan kod yürütme güvenlik açığı vardır. Bu güvenlik açığı, keyfi kod çalıştırılmasına ve hizmet reddine neden olabilir. Ayrıca kötü niyetli kullanıcılar, giriş yapmış kullanıcı hakları ile etkilenen sisteme erişebilirler. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir. Bu güvenlik açığı "Word'de Bellek Bozulması Güvenlik Açığı" olarak da bilinir.
  10. Microsoft OneNote, hazırlanmış OneNote dosyasını açarken uzaktan kod yürütme güvenlik açığı vardır. Bu güvenlik açığı geçerli kullanıcı olarak isteğe bağlı kod çalıştırılmasına neden olabilir. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir. Bu güvenlik açığı "OneNote Remote Code Execution Visnerability" olarak da bilinir.
  11. Unicode Komut Dosyası İşlemcisindeki usp.dll kütüphanesindeki güvenlik açığı isteğe bağlı kod çalıştırılmasına veya hizmet reddine neden olabilir. Ayrıca kötü niyetli kullanıcılar sistemin tam kontrolünü alabilir. Bu güvenlik açığı "Unicode Komut Dosyası İşlemcisi Güvenlik Açığı" olarak da bilinir.
  12. Oluşturulan görüntü dosyası aracılığıyla isteğe bağlı kod çalıştırılmasına yol açabilecek GDI + 'daki güvenlik açığı. Ayrıca kötü niyetli kullanıcılar sistemin tam kontrolünü alabilir. Bu güvenlik açığı "GDI + Resim Ayrıştırma Güvenlik Açığı" olarak da bilinir.

Orijinal öneriler

CVE Listesi

KB Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com

Bu güvenlik açığının açıklamasında bir tutarsızlık mı tespit ettiniz? Bize bildirin!
Kaspersky IT Security Calculator
Daha fazla bilgi edin
Yeni Kaspersky!
Dijital hayatınız güçlü korumayı hak ediyor!
Daha fazla bilgi edin
Confirm changes?
Your message has been sent successfully.