CVE-2017-0261

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

Microsoft Office contains a use-after-free vulnerability which can allow for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа "использование после освобождения" (use-after-free) в компонентах обработки графики (например, в анализаторе файлов EPS) в Microsoft Office. Злоумышленник может создать специальный документ (например, .docx, .rtf), который при открытии в уязвимой версии Office приводит к повреждению памяти и выполнению произвольного кода злоумышленником с правами текущего пользователя.

Как исправить

Установите официальные обновления безопасности от Microsoft, устраняющие эту уязвимость. Конкретные номера обновлений (KB) зависят от версии вашей ОС и пакета Office.

Для Office 2016 (MSI-установка): * Установите обновление KB3191864 от 9 мая 2017 года.

Для Office 2013 (MSI-установка): * Установите обновление KB3191935 от 9 мая 2017 года.

Для Office 2010 (MSI-установка): * Установите обновление KB3191936 от 9 мая 2017 года.

Как установить (Windows): 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Убедитесь, что установлены обновления за май 2017 года с указанными выше номерами KB. 4. Или скачайте и установите обновления вручную с каталога обновлений Microsoft, выполнив поиск по номеру KB.

Для Office 365 (Click-to-Run): * Обновление происходит автоматически. Убедитесь, что у вас актуальная версия. Текущая сборка на момент патча должна быть не ниже версии 1705 (Build 8201.2193).

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Блокировка открытия файлов EPS в Office:

    • Используйте групповые политики (GPO) или реестр, чтобы отключить вставку файлов Encapsulated PostScript (EPS). Это основной вектор атаки.
    • Ключ реестра для блокировки: bash Путь: HKEY_CURRENT_USER\Software\Microsoft\Office\<версия>\Common\Security Имя: DisableEPS Тип: DWORD Значение: 1 Замените <версия> на 16.0 для Office 2016, 15.0 для Office 2013, 14.0 для Office 2010.

  2. Настройка блокировки файлов в Outlook:

    • Настройте блокировку вложений типов .rtf и .doc, если они приходят из ненадежных источников, с помощью транспортых правил или встроенных фильтров.

  3. Повышение осведомленности:

    • Проинструктируйте пользователей не открывать документы Office, полученные из непроверенных источников, особенно по электронной почте.

  4. Использование Microsoft Office Viewer:

    • Для просмотра подозрительных файлов используйте онлайн-сервис Office Online или изолированные средства просмотра, которые не выполняют активное содержимое.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей