CVE-2013-1331

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

Microsoft Office contains a buffer overflow vulnerability that allows remote attackers to execute code via crafted PNG data in an Office document.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2013-1331 представляет собой критическую уязвимость типа Buffer Overflow (переполнение буфера) в библиотеке обработки изображений Microsoft Office. Проблема возникает при парсинге специально сформированных данных в формате PNG, внедренных в документы Office (Word, Excel, PowerPoint).

Уязвимость позволяет злоумышленнику выполнить произвольный код (RCE) в контексте текущего пользователя. Для реализации атаки жертве достаточно открыть вредоносный файл или просмотреть его в панели предварительного просмотра. Основная причина — некорректная проверка размеров чанков (chunks) PNG-изображения перед копированием данных в память.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (бюллетень MS13-051).

  1. Запустите Центр обновления Windows (Windows Update) и установите все приоритетные обновления.
  2. Если требуется ручная установка, загрузите патчи для конкретных версий продукта:
  3. Microsoft Office 2003 Service Pack 3
  4. Microsoft Office 2007 Service Pack 3
  5. Microsoft Office 2010 Service Pack 1 (32/64-bit)
  6. Microsoft Office for Mac 2011

Для автоматизированной проверки наличия установленного исправления в корпоративной среде используйте PowerShell:

Get-HotFix -Id KB2817474, KB2817301

Временные меры

Если немедленная установка патчей невозможна, примените следующие защитные механизмы:

  1. Использование Microsoft Office Isolated Conversion Environment (MOICE) для изоляции обработки старых форматов файлов.
  2. Настройка политик блокировки файлов (File Block Settings) через групповые политики (GPO), чтобы запретить открытие документов из недоверенных источников.
  3. Включение механизма DEP (Data Execution Prevention) для всех приложений Office.
  4. Использование Microsoft EMET (Enhanced Mitigation Experience Toolkit) для принудительной активации защитных функций (ASLR, DEP) для процессов Office (актуально для устаревших систем).
  5. Настройка открытия вложений из интернета исключительно в режиме "Защищенный просмотр" (Protected View).

Для принудительного включения DEP через реестр (для Office 2010):

Set-ItemProperty -Path "HKCU\Software\Microsoft\Office\14.0\Common\General" -Name "EnableDEP" -Value 1
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей