版本:
1.0
此安全性更新可解決 Microsoft Office 中三個私下回報的弱點。 如果在受影響的 Microsoft Office 2007 版本中開啟特製的檔案,弱點可能會允許遠端程式碼執行。 成功利用此弱點的攻擊者可能會取得與目前使用者相同的使用者權限。 帳戶設定為在系統上擁有較少使用者權限的客戶,可能會比使用系統管理使用者權限的客戶影響較少。
此安全性更新會針對 Microsoft Word 2007、Microsoft Word Viewer 和 Microsoft Office 相容性套件的支援版本,評等為重要。 如需詳細資訊,請參閱
受影響的軟體
一節。
安全性更新藉由更正 Microsoft Office 剖析特製檔案的方式來解決弱點。 如需弱點的詳細資訊,請參閱特定弱點的
常見問題 (常見問題)
小節。
如需本檔的詳細資訊,請參閱
Microsoft 知識庫文章3009710
。
受影響的軟體
下列軟體已經過測試,可判斷受影響的版本。 其他版本或版本會超過其支援生命週期,或不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱
Microsoft 支援服務生命週期
。
Microsoft Office Suite 和其他軟體
安全性影響上限
匯總嚴重性評等
已取代更新
受影響的軟體
Microsoft Office Double Delete Remote Code Execution Vulnerability - CVE-2014-6333
Microsoft Office 不正確的索引遠端程式碼執行弱點 - CVE-2014-6334
Microsoft Office 不正確指標遠端程式碼執行弱點 - CVE-2014-6335
匯總嚴重性評等
Microsoft Office 套件
Microsoft Office Double Delete Remote Code Execution Vulnerability - CVE-2014-6333
目前使用者的內容中存在遠端程式碼執行弱點,這是 Microsoft Word在剖析特製 Office 檔案時未正確處理記憶體中的物件所造成。 Microsoft 透過協調的弱點洩漏收到弱點的相關資訊。 發出此安全性佈告欄時,***Microsoft 未收到任何資訊,表示此弱點已公開用來攻擊客戶。 安全性更新藉由更正 Microsoft Office 剖析特製檔案的方式來解決弱點。
風險降低是指設定、一般組態或一般最佳做法,其存在於預設狀態,可降低弱點惡意探索的嚴重性。 下列緩和因素可能對您的情況有所説明:
無法透過電子郵件自動惡意探索弱點。 若要讓攻擊成功,使用者必須開啟電子郵件訊息中傳送的附件。
在 Web 型攻擊案例中,攻擊者可以裝載包含特製 Office 檔案的網站,用來嘗試惡意探索此弱點。 此外,接受或裝載使用者提供之內容或廣告的遭入侵網站和網站可能包含可能會利用此弱點的特殊製作內容。 不過,在所有情況下,攻擊者都無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須確信使用者採取動作,通常是讓他們按一下電子郵件訊息或 Instant Messenger 訊息中的連結,以將使用者帶至攻擊者的網站,然後確信他們開啟特製 Office 檔案。
成功利用此弱點的攻擊者可能會取得與目前使用者相同的使用者權限。 帳戶設定為在系統上擁有較少使用者權限的客戶,可能會比使用系統管理使用者權限的客戶影響較少。
Microsoft 尚未識別此弱點的任何
因
應措施。
常見問題集
攻擊者可能會使用弱點來執行哪些動作?
成功惡意探索弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。 如果目前使用者以系統管理使用者權限登入,攻擊者可能會完全控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。
攻擊者如何利用弱點?
惡意探索此弱點需要使用者開啟具有受影響 Microsoft Office 軟體版本的特製檔案。
在電子郵件攻擊案例中,攻擊者可能會藉由將特製檔案傳送給使用者,並強制使用者以受影響的 Microsoft Office 軟體版本開啟檔案,以惡意探索弱點。
在 Web 型攻擊案例中,攻擊者可以裝載包含用來嘗試惡意探索弱點之檔案的網站。 此外,接受或裝載使用者提供之內容的遭入侵網站和網站可能包含可能會利用此弱點的特殊製作內容。 攻擊者無法強制使用者流覽特別製作的網站。 相反地,攻擊者必須確信他們造訪網站,通常是讓他們按一下電子郵件訊息或將他們帶至攻擊者網站的 Instant Messenger 訊息中的連結,然後確信他們以受影響的 Microsoft Office 軟體版本開啟特製的檔案。
Microsoft Office 不正確的索引遠端程式碼執行弱點 - CVE-2014-6334
遠端程式碼執行弱點存在於目前使用者的內容中,這是 Microsoft Word在剖析特製 Office 檔案時,不正確地處理記憶體中的物件所造成。 這可能會讓攻擊者執行任意程式碼的方式損毀系統記憶體。 Microsoft 透過協調的弱點洩漏,收到這些弱點的相關資訊。 發出此安全性佈告欄時,***Microsoft 未收到任何資訊,表示此弱點已公開用來攻擊客戶。 安全性更新藉由更正 Microsoft Office 剖析特製檔案的方式來解決弱點。
風險降低是指設定、一般組態或一般最佳做法,其存在於預設狀態,可降低弱點惡意探索的嚴重性。 下列緩和因素可能對您的情況有所説明:
無法透過電子郵件自動惡意探索弱點。 若要讓攻擊成功,使用者必須開啟電子郵件訊息中傳送的附件。
在 Web 型攻擊案例中,攻擊者可以裝載包含特製 Office 檔案的網站,用來嘗試惡意探索此弱點。 此外,接受或裝載使用者提供之內容或廣告的遭入侵網站和網站可能包含可能會利用此弱點的特殊製作內容。 不過,在所有情況下,攻擊者都無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須確信使用者採取動作,通常是讓他們按一下電子郵件訊息或 Instant Messenger 訊息中的連結,以將使用者帶至攻擊者的網站,然後確信他們開啟特製 Office 檔案。
成功利用此弱點的攻擊者可能會取得與目前使用者相同的使用者權限。 帳戶設定為在系統上擁有較少使用者權限的客戶,可能會比使用系統管理使用者權限的客戶影響較少。
Microsoft 尚未識別此弱點的任何
因
應措施。
常見問題集
攻擊者可能會使用弱點來執行哪些動作?
成功利用此弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。 如果目前使用者以系統管理使用者權限登入,攻擊者可能會完全控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。
攻擊者如何利用弱點?
惡意探索此弱點需要使用者開啟具有受影響 Microsoft Office 軟體版本的特製檔案。
在電子郵件攻擊案例中,攻擊者可能會藉由將特製檔案傳送給使用者,並強制使用者以受影響的 Microsoft Office 軟體版本開啟檔案,以惡意探索弱點。
在 Web 型攻擊案例中,攻擊者可以裝載包含用來嘗試惡意探索弱點之檔案的網站。 此外,接受或裝載使用者提供之內容的遭入侵網站和網站可能包含可能會利用此弱點的特殊製作內容。 攻擊者無法強制使用者流覽特別製作的網站。 相反地,攻擊者必須確信他們造訪網站,通常是讓他們按一下電子郵件訊息或將他們帶至攻擊者網站的 Instant Messenger 訊息中的連結,然後確信他們以受影響的 Microsoft Office 軟體版本開啟特製的檔案。
Microsoft Office 不正確指標遠端程式碼執行弱點 - CVE-2014-6335
遠端程式碼執行弱點存在於本機使用者的內容中,這是 Microsoft Word在剖析特製 Office 檔案時未正確處理記憶體中的物件所造成。 這可能會讓攻擊者執行任意程式碼的方式損毀系統記憶體。 Microsoft 透過協調的弱點洩漏,收到這些弱點的相關資訊。 發出此安全性佈告欄時,***Microsoft 未收到任何資訊,表示此弱點已公開用來攻擊客戶。 安全性更新藉由更正 Microsoft Office 剖析特製檔案的方式來解決弱點。
風險降低是指設定、一般組態或一般最佳做法,其存在於預設狀態,可降低弱點惡意探索的嚴重性。 下列緩和因素可能對您的情況有所説明:
無法透過電子郵件自動惡意探索弱點。 若要讓攻擊成功,使用者必須開啟電子郵件訊息中傳送的附件。
在 Web 型攻擊案例中,攻擊者可以裝載包含特製 Office 檔案的網站,用來嘗試惡意探索此弱點。 此外,接受或裝載使用者提供之內容或廣告的遭入侵網站和網站可能包含可能會利用此弱點的特殊製作內容。 不過,在所有情況下,攻擊者都無法強制使用者檢視攻擊者控制的內容。 相反地,攻擊者必須確信使用者採取動作,通常是讓他們按一下電子郵件訊息或 Instant Messenger 訊息中的連結,以將使用者帶至攻擊者的網站,然後確信他們開啟特製 Office 檔案。
成功利用此弱點的攻擊者可能會取得與目前使用者相同的使用者權限。 帳戶設定為在系統上擁有較少使用者權限的客戶,可能會比使用系統管理使用者權限的客戶影響較少。
Microsoft 尚未識別此弱點的任何
因
應措施。
常見問題集
攻擊者可能會使用弱點來執行哪些動作?
成功利用此弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。 如果目前使用者以系統管理使用者權限登入,攻擊者可能會完全控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。
攻擊者如何利用弱點?
惡意探索此弱點需要使用者開啟具有受影響 Microsoft Office 軟體版本的特製檔案。
在電子郵件攻擊案例中,攻擊者可能會藉由將特製檔案傳送給使用者,並強制使用者以受影響的 Microsoft Office 軟體版本開啟檔案,以惡意探索弱點。
在 Web 型攻擊案例中,攻擊者可以裝載包含用來嘗試惡意探索弱點之檔案的網站。 此外,接受或裝載使用者提供之內容的遭入侵網站和網站可能包含可能會利用此弱點的特殊製作內容。 攻擊者無法強制使用者流覽特別製作的網站。 相反地,攻擊者必須確信他們造訪網站,通常是讓他們按一下電子郵件訊息或將他們帶至攻擊者網站的 Instant Messenger 訊息中的連結,然後確信他們以受影響的 Microsoft Office 軟體版本開啟特製的檔案。
安全性更新部署
如需安全性更新部署資訊,請參閱執行摘要中所參考的 Microsoft 知識庫文章。
Microsoft 會辨識安全性社群中協助我們透過協調弱點洩漏來保護客戶的工作。 如需詳細資訊
,請參閱通知
。
Microsoft 知識庫中提供的資訊是以「原樣」提供,不含任何種類的保固。 Microsoft 會明確或隱含地拒絕所有擔保,包括適適性與適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都對任何損害負責,包括直接、間接、間接、衍生性、業務收益損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲得這類損害的可能性。 某些狀態不允許排除或限制衍生性或附帶損害的責任,因此可能不適用上述限制。
V1.0 (2014 年 11 月 11 日) :佈告欄已發佈。
頁面產生的 2015-01-14 11:46Z-08:00。
