Бюллетень по безопасности Майкрософт MS14-023 — важно
Уязвимости в Microsoft Office могут разрешить удаленное выполнение кода (2961037)
Опубликовано: 13 мая 2014 г. | Обновлено: 13 мая 2014 г.
Версия: 1.1
Общие сведения
Краткий обзор
Это обновление системы безопасности разрешает две частные уязвимости в Microsoft Office. Самая серьезная уязвимость может разрешить удаленное выполнение кода, если пользователь открывает файл Office, расположенный в том же сетевом каталоге, что и специально созданный файл библиотеки. Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же права пользователя, что и текущий пользователь. Клиенты, учетные записи которых настроены на меньше прав пользователей в системе, могут быть менее затронуты, чем те, кто работает с правами администратора.
Это обновление безопасности оценивается как важно для поддерживаемых выпусков Microsoft Office 2007, Microsoft Office 2010 и Microsoft Office 2013. Дополнительные сведения см. в разделе "Затронутое и не затронутое программное обеспечение ".
Обновление системы безопасности устраняет уязвимости, помогая гарантировать, что функция проверки грамматики на китайском языке (упрощенная версия) в Microsoft Office правильно проверяет пути к файлам перед загрузкой внешних библиотек и помогает обеспечить правильную обработку специально созданных ответов от веб-сайтов. Дополнительные сведения об уязвимостях см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной записи уязвимостей далее в этом бюллетене.
Рекомендация. Клиенты могут настроить автоматическое обновление до проверка в Интернете для обновлений из Центра обновления Майкрософт с помощью службы центра обновления Майкрософт. Клиенты, которые включили автоматическое обновление и настроили проверка в Сети для обновлений из Центра обновления Майкрософт, обычно не потребуется предпринять никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Клиентам, которые не включили автоматическое обновление, необходимо проверка для обновлений из Центра обновления Майкрософт и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.
Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить это обновление вручную, корпорация Майкрософт рекомендует пользователям применять обновление при первой возможности с помощью программного обеспечения для управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт.
См. также раздел, средства обнаружения и развертывания и рекомендации далее в этом бюллетене.
Статья базы знаний
- Статья базы знаний: 2961037
- Сведения о файле: Да
- Хэши SHA1/SHA2: Да
- Известные проблемы: Да
Затронутое и не затронутое программное обеспечение
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Затронутого программного обеспечения
| Программное обеспечение. | Компонент | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|---|
| Microsoft Office 2007; | ||||
| Microsoft Office 2007 с пакетом обновления 3 (средства проверки правописания) (2767772) | Китайский (упрощенный) средство проверки грамматики | Удаленное выполнение кода | Внимание | нет |
| Microsoft Office 2010; | ||||
| Microsoft Office 2010 с пакетом обновления 1 (32-разрядные выпуски) (средства проверки правописания) (2878284) | Китайский (упрощенный) средство проверки грамматики | Удаленное выполнение кода | Внимание | 2760781 в MS13-091 |
| Microsoft Office 2010 с пакетом обновления 2 (32-разрядные выпуски) (средства проверки правописания) (2878284) | Китайский (упрощенный) средство проверки грамматики | Удаленное выполнение кода | Внимание | 2760781 в MS13-091 |
| Microsoft Office 2010 с пакетом обновления 1 (64-разрядная версия) (средства проверки правописания) (2878284) | Китайский (упрощенный) средство проверки грамматики | Удаленное выполнение кода | Внимание | 2760781 в MS13-091 |
| Microsoft Office 2010 с пакетом обновления 2 (64-разрядная версия) (средства проверки правописания) (2878284) | Китайский (упрощенный) средство проверки грамматики | Удаленное выполнение кода | Внимание | 2760781 в MS13-091 |
| Microsoft Office 2013 и Microsoft Office 2013 RT | ||||
| Microsoft Office 2013 (32-разрядные выпуски) (средства проверки правописания) (2880463) | Нет данных | Удаленное выполнение кода | Внимание | нет |
| Microsoft Office 2013 с пакетом обновления 1 (32-разрядная версия) (средства проверки правописания) (2880463) | Нет данных | Удаленное выполнение кода | Внимание | нет |
| Microsoft Office 2013 (32-разрядные выпуски) (mso) (2878316) | Нет данных | Раскрытие информации | Внимание | 2850064 в MS13-104 |
| Microsoft Office 2013 с пакетом обновления 1 (32-разрядная версия) (mso) (2878316) | Нет данных | Раскрытие информации | Внимание | нет |
| Microsoft Office 2013 (64-разрядные выпуски) (средства проверки правописания) (2880463) | Нет данных | Удаленное выполнение кода | Внимание | нет |
| Microsoft Office 2013 с пакетом обновления 1 (64-разрядные выпуски) (средства проверки правописания) (2880463) | Нет данных | Удаленное выполнение кода | Внимание | нет |
| Microsoft Office 2013 (64-разрядные выпуски) (mso) (2878316) | Нет данных | Раскрытие информации | Внимание | 2850064 в MS13-104 |
| Microsoft Office 2013 с пакетом обновления 1 (64-разрядная версия) (mso) (2878316) | Нет данных | Раскрытие информации | Внимание | нет |
| Microsoft Office 2013 RT (средства проверки правописания)[1](2880463) | Нет данных | Удаленное выполнение кода | Внимание | нет |
| Microsoft Office 2013 RT с пакетом обновления 1 (средства проверки правописания)[1](2880463) | Нет данных | Удаленное выполнение кода | Внимание | нет |
| Microsoft Office 2013 RT (mso)[1](2878316) | Нет данных | Удаленное выполнение кода | Внимание | 2850064 в MS13-104 |
| Microsoft Office 2013 RT с пакетом обновления 1 (mso)[1](2878316) | Нет данных | Удаленное выполнение кода | Внимание | нет |
[1]Это обновление доступно через Обновл. Windows.
Не затронутое программное обеспечение
| Office и другое программное обеспечение |
|---|
| Средство просмотра Microsoft Word |
| Пакет обновления 3 пакета совместимости Microsoft Office |
| Microsoft Office для Mac 2011 |
Вопросы и ответы по обновлению
Я предлагаю это обновление для программного обеспечения, которое я не устанавливал в моей системе. Почему я предлагаю это обновление?
Из-за модели обслуживания обновлений Microsoft Office могут быть предложены обновления для программного обеспечения, которое не установлено в вашей системе. Например, к CVE-2014-1756 уязвимы только системы, имеющие китайский (упрощенное письмо). Однако вы можете предложить обновление средств проверки правописания для вашей версии Microsoft Office, даже если у вас нет специально китайского (упрощенного) средства проверки грамматики.
Кроме того, CVE-2014-1808 влияет на общий компонент, используемый программным обеспечением Microsoft Office 2013. Обновление MSO может предлагаться системам, работающим с любым затронутым продуктом Microsoft Office 2013, использующим общий компонент.
Дополнительные сведения об этом поведении и рекомендуемых действиях см. в статье базы знаний Майкрософт 830335.
Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутое программное обеспечение, указанное в этом бюллетене, было проверено, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Дополнительные сведения о жизненном цикле продукта см. на веб-сайте жизненного цикла служба поддержки Майкрософт.
Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, см. раздел "Выбор продукта для сведений о жизненном цикле". Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см . в политике поддержки жизненного цикла пакета обновления.
Клиенты, которым требуется пользовательская поддержка более старого программного обеспечения, должны обратиться к своему представителю группы учетных записей Майкрософт, менеджеру технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без альянса, Premier или авторизованного контракта могут связаться со своим местным офисом продаж Майкрософт. Контактные данные см. на веб-сайте Microsoft Worldwide Information , выберите страну в списке контактных данных и нажмите кнопку " Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Часто задаваемые вопросы о политике жизненного цикла служба поддержки Майкрософт".
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости по отношению к его оценке серьезности и влиянию на безопасность, см. в сводке по индексу эксплойтации в майских бюллетенях. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | |||
|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость проверки грамматики Microsoft Office — CVE-2014-1756 | Уязвимость повторного использования маркера — CVE-2014-1808 | Оценка серьезности агрегата |
| Microsoft Office 2007; | |||
| Microsoft Office 2007 с пакетом обновления 3 (средства проверки правописания) (только для упрощенного китайского языка) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2010; | |||
| Microsoft Office 2010 с пакетом обновления 1 (32-разрядные выпуски) (средства проверки правописания) (только для упрощенного китайского языка) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2010 с пакетом обновления 2 (32-разрядные выпуски) (средства проверки правописания) (только для упрощенного китайского языка) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2010 с пакетом обновления 1 (64-разрядные выпуски) (средства проверки правописания) (только для упрощенного китайского языка) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2010 с пакетом обновления 2 (64-разрядные выпуски) (средства проверки правописания) (только для упрощенного китайского языка) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2013 и Microsoft Office 2013 RT | |||
| Microsoft Office 2013 (32-разрядные выпуски) (средства проверки правописания) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2013 с пакетом обновления 1 (32-разрядные выпуски) (средства проверки правописания) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2013 (32-разрядные выпуски) (mso) | Нет данных | Важное раскрытие информации | Важно! |
| Microsoft Office 2013 с пакетом обновления 1 (32-разрядная версия) (mso) | Нет данных | Важное раскрытие информации | Важно! |
| Microsoft Office 2013 (64-разрядные выпуски) (средства проверки правописания) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2013 с пакетом обновления 1 (64-разрядная версия) (средства проверки правописания) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2013 (64-разрядные выпуски) (mso) | Нет данных | Важное раскрытие информации | Важно! |
| Microsoft Office 2013 с пакетом обновления 1 (64-разрядная версия) (mso) | Нет данных | Важное раскрытие информации | Важно! |
| Microsoft Office 2013 RT (средства проверки правописания) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2013 RT с пакетом обновления 1 (средства проверки правописания) | Важное удаленное выполнение кода | Нет данных | Важно! |
| Microsoft Office 2013 RT с пакетом обновления 1 (mso) | Нет данных | Важное раскрытие информации | Важно! |
| Microsoft Office 2013 RT (mso) | Нет данных | Важное раскрытие информации | Важно! |
Уязвимость проверки грамматики Microsoft Office — CVE-2014-1756
Уязвимость удаленного выполнения кода существует таким образом, как затронутое программное обеспечение Microsoft Office обрабатывает загрузку файлов библиотеки динамического канала (.dll). Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2014-1756.
Смягчающие факторы
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- На уязвимость влияет только система с функцией проверки грамматики для китайского (упрощенного языка) в Microsoft Office.
- Чтобы атака была успешной в сценарии сетевой атаки, пользователь должен посетить ненадежное расположение удаленной файловой системы или общий ресурс WebDAV и открыть файл, связанный с Office (например, файл .docx). Протокол общего доступа к файлам, блок сообщений сервера (S МБ), часто отключен в брандмауэре периметра. Это ограничивает потенциальные векторы атак для этой уязвимости.
- Злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же права пользователя, что и текущий пользователь. Клиенты, учетные записи которых настроены на меньше прав пользователей в системе, могут быть менее затронуты, чем те, кто работает с правами администратора.
Методы обхода проблемы
Решение относится к изменению параметра или конфигурации, которое не исправляет базовую уязвимость, но поможет заблокировать известные векторы атак перед применением обновления. Корпорация Майкрософт проверила следующие обходные пути и состояния в обсуждении, сокращает ли решение функциональные возможности:
Отключение загрузки библиотек из WebDAV и удаленных сетевых общих папок
Примечание. См.статью базы знаний Майкрософт 2264107 для развертывания обходного средства, позволяющего клиентам отключить загрузку библиотек из удаленной сети или общих папок WebDAV. Это средство можно настроить для запрета небезопасной загрузки на основе каждого приложения или глобальной системы.
Клиенты, информированные их поставщиком приложения, уязвимы, могут использовать это средство для защиты от попыток использования этой проблемы.
Примечание. См. статью базы знаний Майкрософт 2264107, чтобы использовать автоматизированное решение Microsoft Fix для развертывания раздела реестра для блокировки загрузки библиотек для общих папок S МБ и WebDAV. Обратите внимание, что это решение для исправления требует установки средства обходного решения, также описанного в статье базы знаний Майкрософт 2264107 . Это решение устраняет только развертывание раздела реестра и требует, чтобы средство обходного решения было эффективным. Мы рекомендуем администраторам внимательно ознакомиться со статьей КБ перед развертыванием этого решения.
Отключение службы WebClient
Отключение службы WebClient помогает защитить затронутые системы от попыток использования этой уязвимости, блокируя наиболее вероятный вектор удаленной атаки через клиентную службу веб-распределенного разработки и управления версиями (WebDAV). После применения этого обходного решения удаленные злоумышленники по-прежнему могут воспользоваться этой уязвимостью, чтобы система запускала программы, расположенные на компьютере целевого пользователя или локальной сети (LAN), но пользователям будет предложено подтвердить, прежде чем открывать произвольные программы из Интернета.
Чтобы отключить службу WebClient, выполните следующие действия.
- Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите Services.msc и нажмите кнопку "ОК".
- Щелкните правой кнопкой мыши службу WebClient и выберите "Свойства".
- Измените тип запуска на "Отключено". Если служба запущена, нажмите кнопку "Остановить".
- Нажмите кнопку "ОК " и выйти из приложения управления.
Влияние обходного решения. Если служба WebClient отключена, запросы веб-распределенной разработки и управления версиями (WebDAV) не передаются. Кроме того, все службы, которые явно зависят от службы веб-клиента, не запускаются, и в журнал системы будет входить сообщение об ошибке. Например, общие папки WebDAV будут недоступны на клиентском компьютере.
Как отменить обходное решение.
Чтобы повторно включить службу WebClient, выполните следующие действия.
- Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите Services.msc и нажмите кнопку "ОК".
- Щелкните правой кнопкой мыши службу WebClient и выберите "Свойства".
- Измените тип запуска на "Автоматически". Если служба не запущена, нажмите кнопку "Пуск".
- Нажмите кнопку "ОК " и выйти из приложения управления.
Блокировать TCP-порты 139 и 445 в брандмауэре
Эти порты используются для запуска соединения с затронутым компонентом. Блокировка TCP-портов 139 и 445 на брандмауэре поможет защитить системы, которые находятся за этим брандмауэром от попыток использования этой уязвимости. Корпорация Майкрософт рекомендует блокировать все незапрошенные входящий трафик из Интернета, чтобы предотвратить атаки, которые могут использовать другие порты. Дополнительные сведения о портах см. в статье TechNet, TCP и назначения портов UDP.
Влияние обходного решения. Несколько служб Windows используют затронутые порты. Блокировка подключения к портам может привести к тому, что различные приложения или службы не работают. Ниже перечислены некоторые приложения или службы, которые могут быть затронуты.
- Приложения, использующие S МБ (CIFS)
- Приложения, использующие почтовые слотки или именованные каналы (RPC по протоколу S МБ)
- Сервер (общий доступ к файлам и печати)
- Групповая политика
- Вход в сеть
- Распределенная файловая система (DFS)
- Лицензирование сервера терминалов
- Диспетчер очереди печати
- Браузер компьютеров
- Указатель вызова удаленной процедуры
- Служба факсов
- Служба индексирования
- Журналы производительности и оповещения
- Сервер управления системами
- Служба ведения журнала лицензий
Как отменить обходное решение. Разблокируйте TCP-порты 139 и 445 на брандмауэре. Дополнительные сведения о портах см. в разделе "Назначения портов TCP и UDP".
Вопросы и ответы
Что такое область уязвимости?
Это уязвимость удаленного выполнения кода в контексте текущего пользователя.
Что вызывает уязвимость?
Уязвимость возникает, когда функция проверки грамматики для китайского языка (упрощенная версия) в Microsoft Office неправильно проверяет путь, используемый для загрузки внешних библиотек.
Что такое функция проверки грамматики и стиля в Microsoft Office?
Функция проверки грамматики и стиля входит в состав средств проверки правописания документов, включенных в средства проверки правописания языковой пакет Microsoft Office. языковой пакет Microsoft Office средства проверки правописания доступны для определенных языков или в качестве полного набора, называемого пакетом office multi-language Pack. Дополнительные сведения см. в разделе "Что входит в языковой пакет Office средства проверки правописания".
Эта уязвимость влияет только на системы с установленным средством проверки правописания языковых пакетов на китайском языке (упрощено).
Что может сделать злоумышленник?
Злоумышленник, успешно использующий эту уязвимость, может запустить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник может убедить пользователя открыть файл, связанный с Office (например, файл .docx), расположенный в том же сетевом каталоге, что и специально созданный файл динамической компоновки (.dll). Затем при открытии файла, связанного с Office, функция проверки грамматики на китайском языке в Microsoft Office может попытаться загрузить файл .dll и выполнить любой содержащийся в нем код.
В сценарии атаки электронной почты злоумышленник может воспользоваться уязвимостью, отправив вложение файла, связанного с Office (например, файл .docx) пользователю, и убедить пользователя поместить вложение в каталог, содержащий специально созданный файл .dll и открыть законный файл. Затем при открытии файла, связанного с Office, функция проверки грамматики на китайском языке в Microsoft Office может попытаться загрузить файл .dll и выполнить любой содержащийся в нем код.
В сценарии сетевой атаки злоумышленник может поместить файл, связанный с Office (например, файл .docx) и специально созданный .dll файл в сетевой папке, UNC или WebDAV, а затем убедить пользователя открыть файл, связанный с Office.
Какие системы в первую очередь подвергаются риску от уязвимости?
Системы, в которых используется программное обеспечение Microsoft Office, включая рабочие станции и серверы терминалов, в основном подвергаются риску. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.
Что делает обновление?
Это обновление устраняет уязвимость, помогая убедиться, что функция проверки грамматики на китайском языке (упрощенная версия) в Microsoft Office правильно проверяет пути к файлам перед загрузкой внешних библиотек.
Связана ли эта уязвимость с 2269637 рекомендаций по безопасности Майкрософт?
Да, эта уязвимость связана с классом уязвимостей, описанным в 2269637 рекомендаций по безопасности Майкрософт, что влияет на загрузку внешних библиотек приложений. Это обновление безопасности устраняет конкретный экземпляр этой уязвимости.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Уязвимость повторного использования маркера — CVE-2014-1808
Уязвимость раскрытия информации существует, если затронутое программное обеспечение Microsoft Office неправильно обрабатывает специально созданный ответ при попытке открыть файл Office, размещенный на вредоносном веб-сайте. Злоумышленник, который успешно воспользовался этой уязвимостью, может определить маркеры доступа, используемые для проверки подлинности текущего пользователя в целевой веб-службе Майкрософт.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2014-1808.
Смягчающие факторы
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- Уязвимость не может быть использована автоматически по электронной почте. Чтобы атака была успешной, пользователь должен открыть вложение, которое отправляется в сообщении электронной почты или щелкнуть ссылку, содержащуюся в сообщении электронной почты.
- В сценарии атаки на основе веб-сайта злоумышленник может разместить веб-сайт, который используется для использования этой уязвимости. Кроме того, скомпрометированные веб-сайты и веб-сайты, которые принимают или размещают предоставленные пользователем контент или объявления, могут содержать специально созданное содержимое, которое может использовать эту уязвимость. Однако во всех случаях злоумышленник не сможет заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, щелкнув ссылку в сообщении электронной почты или сообщении мгновенного messenger, которое принимает пользователей на веб-сайт злоумышленника.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости.
Вопросы и ответы
Что такое область уязвимости?
Это уязвимость раскрытия информации. Злоумышленник, который успешно воспользовался этой уязвимостью, может определить определенные маркеры доступа, используемые для проверки подлинности текущего пользователя в целевой веб-службе Майкрософт.
Что вызывает уязвимость?
Эта уязвимость возникает, когда программное обеспечение Microsoft Office неправильно обрабатывает специально созданные ответы при попытке открыть файл Office, размещенный на вредоносном веб-сайте.
Что такое маркер доступа?
Маркер доступа — это объект, описывающий контекст безопасности процесса или потока. Сведения в маркере включают удостоверение и привилегии учетной записи пользователя, связанной с процессом или потоком. Когда пользователь входит в систему, система проверяет пароль пользователя, сравнивая его с информацией, хранящейся в базе данных безопасности. Если пароль прошел проверку подлинности, система создает маркер доступа.
Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может определить определенные маркеры доступа, используемые для проверки подлинности текущего пользователя в целевой веб-службе Майкрософт.
Обратите внимание, что злоумышленник может попытаться использовать информацию, раскрытую этой уязвимостью, чтобы использовать атаку воспроизведения против целевой веб-службы Майкрософт. Например, пользователь пытается щелкнуть ссылку, чтобы открыть файл Office, размещенный на вредоносном веб-сайте. Используя эту уязвимость, вредоносный веб-сайт может использовать специально созданный ответ, чтобы определить маркер доступа пользователя, который используется для проверки подлинности в определенной службе Майкрософт. Затем злоумышленник может повторно передать маркер доступа на конкретный сайт SharePoint в попытке олицетворения пользователя. Злоумышленник, который успешно олицетворяет пользователя, может предпринять действия от имени пользователя на целевом сайте.
Как злоумышленник может воспользоваться уязвимостью?
Для использования этой уязвимости требуется, чтобы пользователь пытается открыть файл Office, размещенный на вредоносном веб-сайте, с помощью затронутой версии программного обеспечения Microsoft Office.
В сценарии атаки на основе веб-сайта злоумышленник может разместить веб-сайт, который используется для использования этой уязвимости. Кроме того, скомпрометированные веб-сайты и веб-сайты, принимающие или размещающие содержимое пользователя, могут содержать специально созданное содержимое, которое может использовать эту уязвимость. Однако во всех случаях злоумышленник не сможет заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры. Например, злоумышленник может обмануть пользователей щелкнуть ссылку, которая пытается открыть файл Office, размещенный на веб-сайте злоумышленника.
Какие системы в первую очередь подвергаются риску от уязвимости?
Такие системы, как рабочие станции и серверы терминалов, где используется программное обеспечение Microsoft Office, в основном подвержены риску. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить на серверы и запускать программы. Однако рекомендации настоятельно препятствуют этому.
Что делает обновление?
Обновление устраняет уязвимость, помогая гарантировать, что программное обеспечение Microsoft Office правильно обрабатывает специально созданные ответы от веб-сайтов.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Средства обнаружения и развертывания и рекомендации
Несколько ресурсов помогают администраторам развертывать обновления системы безопасности.
- Анализатор безопасности Microsoft Base (МБ SA) позволяет администраторам проверять локальные и удаленные системы для отсутствия обновлений безопасности и распространенных ошибок в настройке безопасности.
- Службы обновления Windows Server (WSUS), сервер управления системами (SMS) и System Center Configuration Manager помогают администраторам распространять обновления безопасности.
- Компоненты средства оценки совместимости обновлений, включенные в состав набор средств совместимости приложений, упрощают тестирование и проверку обновлений Windows в установленных приложениях.
Сведения об этих и других средствах, доступных, см. в разделе "Средства безопасности для ИТ-специалистов".
Развертывание обновлений безопасности
Microsoft Office 2007 (все выпуски)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Для Microsoft Office 2007 (средства проверки правописания для упрощенного китайского языкового пакета):\ proof2007-kb2767772-fullfile-x86-zh-cn.exe |
|---|---|
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Используйте элемент "Добавить или удалить программы" в панель управления. |
| Сведения о файле | Для Microsoft Office 2007 (средства проверки правописания для упрощенного китайского языкового пакета):\ См . статью базы знаний Майкрософт 2767772 |
| Проверка раздела реестра | Нет данных |
Microsoft Office 2010 (все выпуски)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Для Microsoft Office 2010 (32-разрядные выпуски) (средства проверки правописания):\ proofloc2010-kb2878284-fullfile-x86-glb.exe |
|---|---|
| Для Microsoft Office 2010 (64-разрядные выпуски) (средства проверки правописания):\ proofloc2010-kb2878284-fullfile-x64-glb.exe | |
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Не удается удалить это обновление безопасности. |
| Сведения о файле | Для Microsoft Office 2010 (средства проверки правописания):\ См . статью базы знаний Майкрософт 2878284 |
| Проверка раздела реестра | Нет данных |
Microsoft Office 2013 (все выпуски)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Имя файла обновления системы безопасности | Для поддерживаемых выпусков Microsoft Office 2013 (32-разрядные выпуски) (средства проверки правописания):\ proofloc2013-kb2880463-fullfile-x86-glb.exe |
|---|---|
| Для поддерживаемых выпусков Microsoft Office 2013 (32-разрядные выпуски) (mso):\ mso2013-kb2878316-fullfile-x86-glb.exe | |
| Для поддерживаемых выпусков Microsoft Office 2013 (64-разрядные выпуски) (средства проверки правописания):\ proofloc2013-kb2880463-fullfile-x64-glb.exe | |
| Для поддерживаемых выпусков Microsoft Office 2013 (64-разрядные выпуски) (mso):\ mso2013-kb2878316-fullfile-x64-glb.exe | |
| Параметры установки | См. статью базы знаний Майкрософт 912203 |
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Используйте элемент "Добавить или удалить программы" в панель управления. |
| Сведения о файле | Поддерживаемые выпуски Microsoft Office 2013 (средства проверки правописания):\ См . статью базы знаний Майкрософт 2880463 |
| ** ** | Поддерживаемые выпуски Microsoft Office 2013 (mso):\ См . статью базы знаний Майкрософт 2878316 |
| Проверка раздела реестра | Нет данных |
Microsoft Office 2013 RT (все выпуски)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
| Развертывание | Обновления 2880463 и 2878316 для Microsoft Office 2013 RT доступны через Обновл. Windows. |
|---|---|
| Требование перезапуска | В некоторых случаях для этого обновления не требуется перезапуск. Если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение возникает, появится сообщение, которое советует перезапустить.\ \ Чтобы уменьшить вероятность необходимости перезапуска, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапуститься, см . в статье базы знаний Майкрософт 887012. |
| Сведения об удалении | Щелкните панель управления, щелкните "Система и безопасность", щелкните Обновл. Windows, а затем в разделе "См. также", щелкните "Установленные обновления" и выберите из списка обновлений. |
| Сведения о файле | См. статью 2880463 базы знаний Майкрософт и статью базы знаний Майкрософт 2878316 |
Благодарности
Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:
- Группа безопасности NSFOCUS для отчетности об уязвимости проверки грамматики Microsoft Office (CVE-2014-1756)
- Arnaud Maillet из ANSSI для создания отчетов об уязвимости повторного использования маркеров (CVE-2014-1808)
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, перейдите на веб-сайты активных защиты, предоставляемые партнерами программы, перечисленными в программе Microsoft Active Protections Program (MAPP).
Поддержка
Получение справки и поддержки для этого обновления системы безопасности
- Справка по установке обновлений: поддержка Центра обновления Майкрософт
- Решения по безопасности для ИТ-специалистов: устранение неполадок и поддержка безопасности TechNet
- Защита компьютера под управлением Windows от вирусов и вредоносных программ: решение для вирусов и центра безопасности
- Локальная поддержка в соответствии с вашей страной: международная поддержка
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (13 мая 2014 г.): бюллетень опубликован.
- Версия 1.1 (13 мая 2014 г.): исправлена замена обновления для обновления Microsoft Office 2010 (средства проверки правописания) (2878284).
Страница создана 2014-06-25 9:32Z-07:00.