Microsoft Office – zalecana pilna aktualizacja

Logo Microsoft OfficePodczas wtorkowej sesji poprawkowej Microsoft usunie z systemu 62 luki w zabezpieczeniach swoich produktów. 23 z tych podatności zostało oznaczonych jako krytyczne, a  34 jako ważne. 33 luki w zabezpieczeniach mogą pozwolić na zdalne wykonanie kodu.

Na jedną z poprawek Microsoft zwraca szczególną uwagę, ponieważ natrafiono na przypadek wykorzystania tej luki w środowisku produkcyjnym. Chodzi o podatność o numerze CVE-2017-11826. Luka ta pozwala na zdalne wykonanie kodu z wykorzystaniem specjalnie do tego celu przygotowanym plikiem Office. Atakujący, któremu uda się wykorzystać tą lukę może uruchomić specjalnie spreparowany kod w środowisku aktualnie zalogowanego użytkownika. Jeżeli zalogowany użytkownik ma prawa administratora, atakujący może przejąć kontrolę nad zainfekowanym systemem. Atakujący może instalować programy, przeglądać, kasować lub zmieniać dane, może tworzyć nowe konta z pełnymi prawami dostępu.

Wykorzystanie luki w zabezpieczeniach Microsoft Office wymaga od użytkownika otwarcia specjalnie przygotowanego pliku. Taki plik może zostać przesłany za pośrednictwem poczty email, a atakujący może nakłonić użytkownika do otwarcia załącznika. Innym scenariuszem jest zainfekowanie komputera za pośrednictwem strony internetowej poprzez ściągnięcie na komputer specjalnie spreparowanego pliku. Link do zainfekowanej strony może zostać przesłany za pośrednictwem poczty email lub poprzez komunikatory.

 

Poprawka CVE-2017-11826 eliminuje problem w pakietach Microsoft Office poprzez poprawę sposobu zakotwiczenia obiektów Office w pamięci.

Poniższe oprogramowanie jest podatne na ataki z wykorzystaniem luki:

  • Microsoft Office Compatibility Pack Service Pack 3
  • Microsoft Office Online Server 2016
  • Microsoft Office Web Apps Server 2010 Service Pack 2
  • Microsoft Microsoft Office Word Viewer
  • Office Web Apps Server 2013 Service Pack 1
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft Word 2007 Service Pack 3
  • Microsoft Word 2010 Service Pack 2 (32-bit editions)
  • Microsoft Word 2010 Service Pack 2 (64-bit editions)
  • Microsoft Word 2013 RT Service Pack 1
  • Microsoft Word 2013 Service Pack 1 (32-bit editions)
  • Microsoft Word 2013 Service Pack 1 (64-bit editions)
  • Microsoft Word 2016 (32-bit edition)
  • Microsoft Word 2016 (64-bit edition)
  • Word Automation Services na platformie Microsoft SharePoint Server 2010 Service Pack 2
  • Word Automation Services na platformie Microsoft SharePoint Server 2013 Service Pack 1

 

 

Please follow and like us: