Microsoft 安全公告 MS15-013 - 重要
Microsoft 办公室中的漏洞可能允许绕过安全功能(3033857)
发布时间: 2015 年 2 月 10 日
版本: 1.0
执行摘要
此安全更新可解决Microsoft 办公室中公开披露的漏洞。 如果用户打开专门制作的Microsoft 办公室文件,该漏洞可能会允许绕过安全功能。 安全功能本身不允许执行任意代码。 但是,攻击者可以将此安全功能绕过漏洞与另一个漏洞(例如远程代码执行漏洞)结合使用来运行任意代码。
此安全更新针对 Microsoft 办公室 2007、Microsoft 办公室 2010 和 Microsoft 办公室 2013 的所有受支持版本都被评为“重要”。 有关详细信息,请参阅 “受影响的软件 ”部分。
安全更新通过更正Microsoft 办公室如何分析特制文件来解决漏洞。 有关漏洞的详细信息,请参阅 “漏洞信息 ”部分。
有关此更新的详细信息,请参阅 Microsoft 知识库文章3033857。
受影响的软件
以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
| Microsoft 办公室 Suite 和其他软件 | 最大安全影响 | 聚合严重性分级 | 已替换汇报 |
|---|---|---|---|
| Microsoft 办公室套件和组件 | |||
| Microsoft Office 2007 | |||
| Microsoft 办公室 2007 Service Pack 3 (2920795) | 安全功能绕过 | 重要 | 无 |
| Microsoft Office 2010 | |||
| Microsoft 办公室 2010 Service Pack 2 (32 位版本)(2920748) | 安全功能绕过 | 重要 | 无 |
| Microsoft 办公室 2010 Service Pack 2 (64 位版本)(2920748) | 安全功能绕过 | 重要 | 无 |
| Microsoft Office 2013 | |||
| Microsoft 办公室 2013 (32 位版本) (2910941) | 安全功能绕过 | 重要 | 无 |
| Microsoft 办公室 2013 (64 位版本) (2910941) | 安全功能绕过 | 重要 | 无 |
| Microsoft 办公室 2013 Service Pack 1(32 位版本)(2910941) | 安全功能绕过 | 重要 | 无 |
| Microsoft 办公室 2013 Service Pack 1 (64 位版本)(2910941) | 安全功能绕过 | 重要 | 无 |
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布后 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 2 月公告摘要中的 Exploitability Index。
| 受影响的软件的漏洞严重性分级和最大安全影响 | ||
|---|---|---|
| 受影响的软件 | Microsoft 办公室组件在释放漏洞后使用 - CVE-2014-6362 | 聚合严重性分级 |
| Microsoft Office 2007 | ||
| Microsoft 办公室 2007 Service Pack 3 (2920795) | 重要 安全功能绕过 | 重要说明 |
| Microsoft Office 2010 | ||
| Microsoft 办公室 2010 Service Pack 2 (32 位版本) (2920748) | 重要 安全功能绕过 | 重要说明 |
| Microsoft 办公室 2010 Service Pack 2 (64 位版本)(2920748) | 重要 安全功能绕过 | 重要说明 |
| Microsoft Office 2013 | ||
| Microsoft 办公室 2013 (32 位版本) (2910941) | 重要 安全功能绕过 | 重要说明 |
| Microsoft 办公室 2013 (64 位版本) (2910941) | 重要 安全功能绕过 | 重要说明 |
| Microsoft 办公室 2013 Service Pack 1 (32 位版本)(2910941) | 重要 安全功能绕过 | 重要说明 |
| Microsoft 办公室 2013 Service Pack 1(64 位版本)(2910941) | 重要 安全功能绕过 | 重要说明 |
漏洞信息
Microsoft 办公室组件在释放漏洞后使用 - CVE-2014-6362
当安全功能绕过漏洞无法使用地址空间布局随机化(ASLR)安全功能时,Microsoft 办公室中存在一个安全漏洞,使攻击者能够更可靠地预测给定调用堆栈中特定指令的内存偏移量。 安全功能本身不允许执行任意代码。 但是,攻击者可以将 ASLR 绕过漏洞与另一个漏洞(例如远程代码执行漏洞)结合使用来运行任意代码。
利用此漏洞需要用户打开具有受影响版本的Microsoft 办公室软件的特制文件。 在电子邮件攻击方案中,攻击者可以通过向用户发送特制的文件并说服用户打开文件来利用漏洞。 请注意,Word 查看器和预览窗格不是此漏洞的攻击途径。 在基于 Web 的攻击方案中,攻击者可以托管一个网站,其中包含用于尝试利用漏洞的文件。 此外,接受或托管用户提供的内容的已泄露网站和网站可能包含可能利用此漏洞的特制内容。 攻击者无法强制用户访问专门制作的网站。 相反,攻击者必须说服用户访问该网站,通常是让他们单击电子邮件或即时信使消息中的链接,然后说服他们打开特制的文件。
安全更新通过更正Microsoft 办公室分析文件的方式来解决漏洞。 使用受影响的Microsoft 办公室软件的系统(包括工作站和终端服务器)主要面临风险。 如果管理员允许用户登录到服务器并运行程序,则服务器可能会面临更大的风险。 但是,最佳做法强烈建议不要允许这样做。
增强的缓解体验工具包(EMET)有助于在安装 EMET 并配置为使用 Microsoft 办公室 软件的系统上缓解此漏洞。 EMET 使用户能够管理安全缓解技术,帮助攻击者更难利用给定软件中的漏洞。 有关 EMET 的详细信息,请参阅 增强型缓解体验工具包。
此漏洞已公开披露。 它已分配有常见漏洞和公开号码 CVE-2014-6362。 最初发布此安全公告时,Microsoft 未收到任何信息,以指示此漏洞已公开用于攻击客户。
缓解因素
Microsoft 尚未识别此漏洞的任何 缓解因素 。
解决方法
以下解决方法可能对你的情况有所帮助:
在 EMET 中使用强制 ASLR 缓解
使用增强的缓解体验工具包(EMET)并为有风险的应用程序启用强制 ASLR 缓解。 有关详细信息和下载链接,请参阅 增强的缓解体验工具包 5.1(v=Security.10)。解决方法的影响。 即使模块未使用此设置进行编译,EMET 也会强制模块使用 ASLR 进行加载。
如何撤消解决方法。
禁用风险应用程序或卸载 EMET 的强制 ASLR 缓解措施。
安全更新部署
有关安全更新部署信息,请参阅“执行摘要”中引用的 Microsoft 知识库文章。
致谢
Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2015 年 2 月 10 日):公告已发布。
页面生成的 2015-02-05 15:50Z-08:00。