CH azonosító
CH-13017Angol cím
Microsoft Office és SharePoint updatesFelfedezés dátuma
2016.02.09.Súlyosság
KritikusÉrintett rendszerek
MicrosoftOffice
SharePoint Server
Érintett verziók
Microsoft Office 2007
Microsoft Office 2010
Microsoft Office 2013
Microsoft Office 2013 RT
Microsoft Office 2016
Microsoft Office (Mac 2011)
Microsoft Office 2016 (Mac)
Other Office Software
Microsoft Office Services és Web Apps
Microsoft SharePoint Server 2010
Microsoft SharePoint Server 2013
Microsoft Office Web Apps 2010
Microsoft Office Web Apps 2013
Microsoft SharePoint Server 2013
Microsoft SharePoint Foundation 2013
Összefoglaló
A Microsoft kritikus kockázati besorolással látta el közleményét, amely Office és Sharepoint sérülékenységekről készült.
Leírás
A legveszélyesebb sérülékenységek mindkét esetben távoli kódfuttatást, illetve jogosultsági szint emelést tehetnek lehetővé, aminek a hátterében memória kezelési hibák és a bejövő adatok nem megfelelő kezelése áll. A hibákat speciálisan összeállított Office fájlokkal lehet kihasználni.
A SharePoint esetében Cross site scripting (XSS) támadás végrehajtására is lehetőség adhat. A probléma itt a webes kérések nem megfelelő kezeléséből fakad.
Megoldás
A MS16-015-ös biztonsági közleményhez tartozó hibajavítások telepítése.
Támadás típusa
Buffer ErrorsCommand Injection
Cross Site Scripting (XSS/CSS)
Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: technet.microsoft.com
CVE-2016-0022 - NVD CVE-2016-0022
CVE-2016-0052 - NVD CVE-2016-0052
CVE-2016-0053 - NVD CVE-2016-0053
CVE-2016-0054 - NVD CVE-2016-0054
CVE-2016-0055 - NVD CVE-2016-0055
CVE-2016-0056 - NVD CVE-2016-0056
CVE-2016-0039 - NVD CVE-2016-0039