CVE-2014-1761

Microsoft Word

ВЫСОКАЯ ВЕРОЯТНОСТЬ

Дата обнаружения

2022-02-15

Официальное описание

Microsoft Word contains a memory corruption vulnerability which when exploited could allow for remote code execution.

🛡️

Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2014-1761) в Microsoft Word связана с ошибкой обработки специально созданных RTF-документов, приводящей к повреждению памяти (memory corruption). Злоумышленник может: * Отправить вредоносный RTF-файл по электронной почте. * Разместить файл на веб-сайте. * При открытии файла в уязвимой версии Word может произойти выполнение произвольного кода с правами текущего пользователя.

Как исправить

Установите официальное обновление безопасности от Microsoft.

Для всех поддерживаемых выпусков Microsoft Word 2007: * Установите обновление KB2878233 через Центр обновления Windows или загрузите вручную из Каталога Центра обновления Майкрософт.

Для всех поддерживаемых выпусков Microsoft Word 2010: * Установите обновление KB2863919 через Центр обновления Windows или загрузите вручную.

Проверка установки: 1. Откройте Панель управления -> Программы и компоненты. 2. Нажмите Просмотр установленных обновлений. 3. В списке найдите указанные выше номера KB. Их наличие означает, что патч установлен.

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры:

1. Блокировка RTF-файлов в Microsoft Outlook (для предотвращения атак через почту): * Используйте официальное средство блокировки файлов Microsoft Office (MOICE). Инструкция по развертыванию доступна в бюллетене MS14-017. * Настройте правила транспорта в Exchange для блокировки вложений с расширением .rtf.

2. Изменение политики блокирования файлов в Office: Внесите изменения в реестр, чтобы открывать RTF-документы в режиме защищенного просмотра или полностью блокировать их. bash # Для Word 2010: Блокировка открытия RTF-файлов reg add "HKCU\Software\Microsoft\Office\14.0\Word\Security\FileBlock" /v "RtfFiles" /t REG_DWORD /d 2 /f * Значение 2 — открывать в режиме защищенного просмотра. * Значение 3 — не открывать файлы (блокировка).

3. Использование Enhanced Mitigation Experience Toolkit (EMET): * Разверните и настройте EMET, включив защиту для WINWORD.EXE. Особенно эффективны модули DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization).

4. Информирование пользователей: * Запретите открывать RTF-файлы, полученные из ненадежных источников. * Рекомендуйте использовать режим Защищенного просмотра для всех документов из внешних источников.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей