CVE-2010-2572

Microsoft PowerPoint

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

Microsoft PowerPoint contains a buffer overflow vulnerability that alllows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2010-2572 представляет собой критическую уязвимость типа Buffer Overflow (переполнение буфера) в Microsoft PowerPoint. Проблема возникает при некорректной обработке специально сформированных записей в файлах формата PowerPoint 97-2003 (.ppt).

Злоумышленник может создать вредоносный файл, который при открытии пользователем вызывает повреждение памяти. Это позволяет выполнить произвольный код (RCE) в контексте текущего пользователя. Уязвимость активно использовалась в целевых атаках (APT) через фишинговые рассылки.

Как исправить

Основным способом устранения является установка соответствующих обновлений безопасности от Microsoft (бюллетень MS10-088).

  1. Для автоматического исправления запустите Центр обновления Windows (Windows Update) и установите все критические обновления.

  2. Для ручной установки выберите пакет обновления в зависимости от версии установленного Office:

  3. Microsoft Office PowerPoint 2002 (SP3): Обновление KB2289163.

  4. Microsoft Office PowerPoint 2003 (SP3): Обновление KB2289187.

  5. Microsoft Office PowerPoint 2007 (SP2): Обновление KB2284697.

  6. Проверка версии файла после патча (на примере PowerPoint 2007): Убедитесь, что версия файла Powerpnt.exe равна или выше 12.0.6545.5000.

Временные меры

Если немедленная установка патчей невозможна, примените следующие защитные механизмы:

  1. Использование Microsoft File Block: Настройте групповые политики (GPO) для запрета открытия файлов презентаций старых форматов (PowerPoint 97-2003).

  2. Развертывание EMET (Enhanced Mitigation Experience Toolkit): Хотя продукт устарел, в изолированных средах со старым ПО использование EMET с включенными функциями DEP и ASLR помогает предотвратить эксплуатацию переполнения буфера.

  3. Изоляция через Office Sandbox (Protected View): Для версий Office 2010 и выше убедитесь, что файлы из интернета открываются в режиме защищенного просмотра.

  4. Блокировка подозрительных вложений на почтовом шлюзе: Настройте фильтрацию входящих писем, блокируя или отправляя на карантин файлы .ppt, полученные из недоверенных источников.

  5. Принудительное включение DEP (Data Execution Prevention): Включите DEP для всех программ через командную строку (требуется перезагрузка):

bcdedit /set {current} nx AlwaysOn
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей