BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA10616
Microsoft Office'teki birden çok güvenlik açığı
Yüklendi : 07/05/2018
Bulunma tarihi
?
12/09/2014
Şiddet
?
Kritik
Açıklama

Microsoft Office ürünlerinde birden çok ciddi güvenlik açığı bulundu. Kötü niyetli kullanıcılar, bu güvenlik açıklarını rasgele kod çalıştırma, hizmet reddi, dürüstlük kaybı, güvenlik atlama, ayrıcalık yükseltme ve hassas bilgiler elde etme amacıyla kullanabilir.

Aşağıda güvenlik açıklarının tam listesi

  1. Microsoft Office, uygun kullanıcı bağlamında rasgele kod yürütmesine neden olabilecek hazırlanmış Office dosyalarını ayrıştırırken nesneleri bellekteki düzgün olmayan bir şekilde işler. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir.
  2. Microsoft IME (Japonca) bileşenindeki güvenlik açığı, oturum açmış kullanıcı hakları ile etkilenen sisteme erişim elde edilmesine yol açabilir. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir.
  3. MSCOMCTL ortak denetimler kitaplığı, ASLR güvenlik özelliğini, hazırlanmış web sitesi aracılığıyla baypas etmesine yol açabilecek ASLR'yi düzgün şekilde uygulamıyor. Bu güvenlik açığı "MSCOMCTL ASLR Güvenlik Açığı" olarak da bilinir.
  4. Microsoft Office, web sitesi aracılığıyla bir Office belgesini açarken, hassas belirteci bilgilerinin elde edilmesine yol açabilecek şekilde hazırlanmış bir yanıtı düzgün işlemez. Bu bilgi, geçerli kullanıcının hedeflenen bir Microsoft çevrimiçi hizmetinde doğrulanması için kullanılabilir. Bu güvenlik açığı "Token Yeniden Kullanılabilirlik Güvenlik Açığı" olarak da bilinir.
  5. Microsoft Publisher kütüphanesindeki pubconv.dll'deki güvenlik açığı, geçerli kullanıcı olarak '.pub' uzantısına sahip hazırlanmış dosyalar aracılığıyla yürütme keyfi kod çalıştırılmasına neden olabilir. Bu güvenlik açığı "Keyword Pointer Dereference Vulnerability" olarak da bilinir.
  6. Microsoft Office, özel hazırlanmış dosyaları daha rasgele kod yürütmesine neden olabilecek daha yeni bir formata dönüştürürken yanlış bellek ayırdı. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir.
  7. Microsoft Word'de özel hazırlanmış belgeler açılırken yığın arabellek taşması güvenlik açığı bulunmaktadır. Bu güvenlik açığı geçerli kullanıcı olarak isteğe bağlı kod çalıştırılmasına neden olabilir. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir. Bu güvenlik açığı "Microsoft Word Yığın Taşması Güvenlik Açığı" olarak da bilinir.
  8. Microsoft Word'de, özel hazırlanmış RTF verilerini ayrıştırırken uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığı geçerli kullanıcı olarak isteğe bağlı kod çalıştırılmasına neden olabilir. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir.
  9. Microsoft Office'in hazırlanmış Office belgesini açarken uzaktan kod yürütme güvenlik açığı vardır. Bu güvenlik açığı, keyfi kod çalıştırılmasına ve hizmet reddine neden olabilir. Ayrıca kötü niyetli kullanıcılar, giriş yapmış kullanıcı hakları ile etkilenen sisteme erişebilirler. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir. Bu güvenlik açığı "Word'de Bellek Bozulması Güvenlik Açığı" olarak da bilinir.
  10. Microsoft OneNote, hazırlanmış OneNote dosyasını açarken uzaktan kod yürütme güvenlik açığı vardır. Bu güvenlik açığı geçerli kullanıcı olarak isteğe bağlı kod çalıştırılmasına neden olabilir. Geçerli kullanıcının yönetici kullanıcı hakları varsa, kötü niyetli kullanıcılar sistemin tam denetimini alabilir. Daha az kullanıcı hakkı olan kullanıcılar daha az etkilenebilir. Bu güvenlik açığı "OneNote Remote Code Execution Visnerability" olarak da bilinir.
  11. Unicode Komut Dosyası İşlemcisindeki usp.dll kütüphanesindeki güvenlik açığı isteğe bağlı kod çalıştırılmasına veya hizmet reddine neden olabilir. Ayrıca kötü niyetli kullanıcılar sistemin tam kontrolünü alabilir. Bu güvenlik açığı "Unicode Komut Dosyası İşlemcisi Güvenlik Açığı" olarak da bilinir.
  12. Oluşturulan görüntü dosyası aracılığıyla isteğe bağlı kod çalıştırılmasına yol açabilecek GDI + 'daki güvenlik açığı. Ayrıca kötü niyetli kullanıcılar sistemin tam kontrolünü alabilir. Bu güvenlik açığı "GDI + Resim Ayrıştırma Güvenlik Açığı" olarak da bilinir.
Etkilenmiş ürünler

Microsoft Office 2003,
Microsoft Office 2007,
Microsoft Office 2010,
Microsoft Office 2013,
Microsoft Office 2013 RT,
Mac için Microsoft Office
Microsoft Word Görüntüleyici,
Microsoft Office Web Uygulamaları,
Microsoft SharePoint Server
Microsoft Office Uyumluluk Paketi
Microsoft Office Web Uygulamaları,
Microsoft OneNote.

Çözüm

Windows Güncellemenizde listelenen KB bölümünden gerekli güncellemeleri yükleyin (Windows Update genellikle Kontrol Panelinden erişilebilir)

Orijinal öneriler

MS14-081
MS14-082
MS14-083
MS14-078
MS14-069
MS14-061
MS14-048
MS14-036
MS14-034
MS14-023
MS14-024
MS14-020
MS14-017
MS14-001

Etkiler
?
WLF 
[?]

RLF 
[?]

ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]

LoI 
[?]
Alakalı ürünler
Microsoft Office
CVE-IDS
?

CVE-2014-2815
CVE-2014-0260
CVE-2014-0259
CVE-2014-0258
CVE-2014-1761
CVE-2014-1758
CVE-2014-1757
CVE-2014-1756
CVE-2014-1808
CVE-2014-1809
CVE-2014-4117
CVE-2014-6335
CVE-2014-6334
CVE-2014-6333
CVE-2014-6361
CVE-2014-6360
CVE-2014-6364
CVE-2014-6357
CVE-2014-4077
CVE-2014-2778
CVE-2014-1817
CVE-2014-1818

Microsoft resmi önerisi
MS14-081
MS14-082
MS14-083
MS14-078
MS14-069
MS14-061
MS14-048
MS14-036
MS14-034
MS14-023
MS14-024
MS14-020
MS14-017
MS14-001
KB listesi

3017301
3017349
3017347
2992719
3009710
3000434
2969261
2961033
2961037
2950145
2949660
2916605
2977201
2967487


Orijinaline link