【安全漏洞公告】Microsoft Word遠程代碼執行漏洞(CNVD-2023-14998)
發(fa)布時間:2023-03-24
來源(yuan):圣博(bo)潤
一、漏洞簡介
|
CVEID
|
CVE-2023-21716
|
公開日期
|
2023-03-07
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
已公開
|
攻擊途徑
|
遠程網絡
|
攻擊(ji)者利(li)用(yong)該漏(lou)洞(dong)(dong)可(ke)以(yi)(yi)以(yi)(yi)受害者權(quan)限(xian)實現遠程代(dai)碼(ma)執行,打開惡(e)意(yi)(yi)RTF文檔。具體來說,漏(lou)洞(dong)(dong)是(shi)微軟Word中(zho������ng)的(de)(de)RTF分(fen)析(xi)器中(zhong)的(de)(de)一(yi)個堆(dui)破(po)壞漏(lou)洞(dong)(dong),當處理(li)包(bao)含(han)過量字體(*\f###*)的(de)(de)字體表(*\fonttbl*)時會(hui)觸發該漏(lou)洞(dong)(dong)。內存破(po)壞發生后,攻擊(ji)者可(ke)以(yi)(yi)利(li)用(yong)特殊的(de)(de)堆(dui)布局來����實現任意(yi)(yi)代(dai)碼(ma)執行。
二、影響范圍
Microsoft Word 2013 SP1
Microsoft Word 2013 RT SP1
Microsoft Office Web Apps 2013 SP1
Microsoft Word 2016
Microsoft Office Online Server
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Enterprise Server 2013 SP1
Microsoft Office Online Server 2016
Microsoft Office 2019 for Mac
Microsoft SharePoint Server 2019
Microsoft SharePoint Foundation 2013 SP1
Microsoft Office LTSC 2021
Microsoft Office LTSC for Mac 2021
Microsoft Microsoft Office 2019 for Mac
Microsoft sharepoint server subscription
Microsoft office long term servicing channel 2021 macos
Microsoft sharepoi������nt server anguage_pack subscription
三、解決措施
Microsoft官方已經修復了此漏洞(dong)并發布了安全公(gong)告,建議(yi����)使用Mic������rosoft Word的(de)用戶使用其自帶的(de)自動更新(xin)功能升級到最(zui)新(xin)版本(ben),或從漏洞(dong)公(gong)告頁面(mian)下載補丁安裝包,應用該漏洞(dong)的(de)補丁。
補丁下載鏈接:
-
打(da)開Office應用,點(dian)擊"文件">"賬(zhang)戶(hu)",在(zai)產品信息中點(�����dian)擊"更(geng)新選(xuan)項(xiang)">"立即更(geng)新"
-
若(ruo)出現一下內容則說明應(ying)用已更(geng)新至最新狀態
四(si)、參考鏈接
//www.cve.mitre.org/cgi-bin/cvename.cgi?name=C����VE-2023-21716
