【安全漏洞公告】Microsoft Word遠程代碼執行漏洞(CNVD-2023-14998)
一、漏洞簡介
|
CVEID
|
CVE-2023-21716
|
公開日期
|
2023-03-07
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
已公開
|
攻擊途徑
|
遠程網絡
|
������
攻擊者利用該漏洞可以以受害者權限實現遠程代碼執行,打開惡意RTF文檔。具體來說,漏洞是微軟Word中的RTF分析器中的一個堆破壞漏洞,當處理包含過量字體(*\f###*)的字體表(*\fonttbl*)時會觸發該漏洞。內存破壞發生后,攻擊者可以利用特殊的堆布局來實現任意代碼執行。
二、影響范圍
Microsoft Word 2013 SP1
Microsoft Word 2013 RT SP1
Microsoft Office Web Apps 2013 SP1
Microsoft Word 2016
Microsoft Office Online Server
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Enterprise Server 2013 SP1
Microsoft Office Online Server 2016
Microsoft Office 2019 for Mac
Microsoft SharePoint Server 2019
Microsoft SharePoint Foundation 2013 SP1
Microsoft Office LTSC 2021
Microsoft Office LTSC for Mac 2021
Microsoft Microsoft Office 2019 for Mac
Microsoft sharepoint server subscription
Microsoft office long term servicing channel 2021 macos
�����
Microsoft sharepoint server anguage_pack subscription
三、解決措施
��������
Microsoft官方已經修復了此漏洞并發布了安全公告,建議使用Microsoft Word的用戶使用其自帶的自動更新功能升級到最新版本,或從漏洞公告頁面下載補丁安裝包,應用該漏洞的補丁。
補丁下載鏈接:
-
�������打開Office應用,點擊"文件">"賬戶",在產品信息中點擊"更新選項">"立即更新"
四、參考鏈接
������
//www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21716
