CVE-2010-3333

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

A stack-based buffer overflow vulnerability exists in the parsing of RTF data in Microsoft Office and earlier allows an attacker to perform remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2010-3333) — это переполнение стека в анализаторе RTF-данных в Microsoft Office. Злоумышленник может создать специальный RTF-файл, который при открытии в уязвимой версии Office приводит к выполнению произвольного кода с правами текущего пользователя. Основной вектор атаки — отправка вредоносного файла по электронной почте или размещение его на веб-сайте.

Как исправить

Установите официальный патч от Microsoft. Конкретный номер обновления зависит от вашей версии ОС и пакета Office.

  • Для Microsoft Office 2003 с пакетом обновления 3 (SP3): Установите обновление KB2288613.
  • Для Microsoft Office 2007 с пакетом обновления 2 (SP2): Установите обновление KB2288621.
  • Для Microsoft Office 2010 (32-разрядная версия): Установите обновление KB2288618.
  • Для Microsoft Office 2010 (64-разрядная версия): Установите обновление KB2288620.

Способ установки (Windows): 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите Проверка наличия обновлений. 3. Убедитесь, что указанные выше обновления установлены. Их также можно загрузить и установить вручную по предоставленным ссылкам.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Используйте блокировку файлов в Microsoft Office: Воспользуйтесь средством Microsoft Fix it, которое временно блокирует открытие RTF-файлов в уязвимых версиях Office. Решение описано в статье Microsoft 2269638.

  2. Настройте блокировку на почтовом шлюзе и WAF: Добавьте правила для фильтрации вложений с расширением .rtf.

    • Пример правила для Suricata/Snort: bash alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"CVE-2010-3333 - Suspected RTF exploit"; flow:established,to_client; content:"|7B 5C 72 74 66 31|"; depth:6; content:"|5C 73 68 70 69 6E 73 74|"; distance:0; within:100; sid:1000001; rev:1;)
    • В веб-приложении или на прокси-сервере настройте блокировку загрузки файлов с типом MIME application/rtf или text/rtf.

  3. Ограничьте права пользователей: Запускайте Microsoft Office с минимально необходимыми привилегиями. Отключите выполнение Office через политики ограниченного использования программ (Software Restriction Policies) для ненадежных зон.

  4. Повысьте осведомленность: Проинструктируйте пользователей не открывать RTF-файлы, полученные из непроверенных источников.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей