CVE-2009-0563

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

Microsoft Office contains a buffer overflow vulnerability that allows remote attackers to execute code via a Word document with a crafted tag containing an invalid length field.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2009-0563 представляет собой критическую уязвимость типа переполнения буфера (Buffer Overflow) в парсере документов Microsoft Office Word. Проблема возникает из-за некорректной обработки специфических тегов в структуре файла. Дистанционный атакующий может создать вредоносный документ Word, в котором поле длины (length field) определенного тега имеет недопустимое значение. При открытии такого файла приложением Word происходит перезапись памяти, что позволяет злоумышленнику выполнить произвольный код (RCE) в контексте текущего пользователя.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (бюллетень MS09-027).

  1. Для автоматического исправления запустите Центр обновления Windows (Windows Update).

  2. Для ручной установки выберите соответствующий пакет обновления в зависимости от версии продукта:

  3. Microsoft Office Word 2000 SP3
  4. Microsoft Office Word 2002 SP3
  5. Microsoft Office Word 2003 SP3

  6. Microsoft Office Word 2007 SP1/SP2

  7. Проверьте версию файла winword.exe после установки патча. Версия должна быть не ниже указанных в бюллетене MS09-027 для конкретной редакции Office.

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие защитные механизмы:

  1. Использование Microsoft Office Isolated Conversion Environment (MOICE) для изоляции обработки файлов старых форматов.

  2. Блокировка открытия бинарных файлов Word (.doc, .dot) через групповые политики (File Block Settings) в Office 2003/2007:

reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Word\Security\FileOpenBlock" /v "FilesBeforeV11" /t REG_DWORD /d 1 /f

  1. Настройка открытия документов Word только в режиме чтения или использование Microsoft Office Word Viewer последних версий с установленными обновлениями.

  2. Использование средств предотвращения выполнения данных (DEP) на уровне операционной системы для минимизации риска эксплуатации переполнения буфера:

bcdedit /set {current} nx OptIn
  1. Обучение пользователей не открывать вложения Word из недоверенных или подозрительных источников.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей