365 Apps
Уязвимости
487
Эксплуатируемые
10
Макс. CVSS
9.8
Макс. EPSS
0.97408
Распределение по критичности
Критический
5
Высокий
410
Средний
67
Низкий
5
Затронутые диапазоны версий
≤ 2401.17231.20236
Также сопоставлено как (исходные строки): office,office_long_term_servicing_channel,office_2024,sharepoint_server,excel,365_apps,access,microsoft_365,office_2021,word,office_online_server,office_web_apps
Топ уязвимостей
CVE-2024-21413Уязвимость удаленного выполнения кода Microsoft Outlook.
CVE-2023-23397Уязвимость повышения привилегий в Microsoft Outlook.
CVE-2020-0901Существует уязвимость удаленного выполнения кода в программном обеспечении Microsoft Excel, когда оно неправильно обрабатывает объекты в памяти, также известная как 'Уязвимость удаленного выполнения кода в Microsoft Excel'.
CVE-2023-33150Уязвимость обхода средств безопасности Microsoft Office.
CVE-2024-38200Уязвимость спуфинга в Microsoft Office.
CVE-2026-40420Использование после бесплатного в Microsoft Office позволяет авторизованному злоумышленнику повысить привилегии на местном уровне.
CVE-2026-35436Повышение привилегий в Microsoft 365 Apps for Enterprise
CVE-2024-38189Уязвимость удаленного выполнения кода в Microsoft Project.
CVE-2024-38021Уязвимость удаленного выполнения кода в Microsoft Outlook.
CVE-2024-30103Уязвимость удаленного выполнения кода в Microsoft Outlook.
CVE-2024-21378Уязвимость удаленного выполнения кода Microsoft Outlook.
CVE-2023-33153Уязвимость удаленного выполнения кода Microsoft Outlook.
CVE-2022-41106Уязвимость удаленного выполнения кода в Microsoft Excel.
CVE-2022-34717Уязвимость удаленного выполнения кода Microsoft Office.
CVE-2021-34501Уязвимость удаленного выполнения кода в Microsoft Excel.
CVE-2021-28455Уязвимость удаленного выполнения кода в Microsoft Jet Red Database Engine и Access Connectivity Engine.
CVE-2020-16947<p>Уязвимость удаленного выполнения кода существует в программном обеспечении Microsoft Outlook, когда программное обеспечение неправильно обрабатывает объекты в памяти. Злоумышленник, успешно использовавший эту уязвимость, может запустить произвольный код в контексте целевого пользователя. Если целевой пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над уязвимой системой. Затем злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя. Пользователи, учетные записи которых настроены с меньшими правами пользователя в системе, могут быть менее подвержены воздействию, чем пользователи, работающие с правами администратора.</p>
<p>Для эксплуатации уязвимости требуется, чтобы пользователь открыл специально созданный файл с уязвимой версией программного обеспечения Microsoft Outlook. В сценарии атаки по электронной почте злоумышленник может воспользоваться уязвимостью, отправив специально созданный файл пользователю и убедив пользователя открыть файл. В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает предоставленный пользователем контент), содержащий специально созданный файл, предназначенный для использования уязвимости. У злоумышленника не будет возможности заставить пользователей посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователей щелкнуть ссылку, как правило, с помощью приманки в электронном письме или мгновенном сообщении, а затем убедить их открыть специально созданный файл.</p>
<p>Обратите внимание, что если в таблице «Уязвимые продукты» указана критическая степень серьезности, область предварительного просмотра является вектором атаки.</p>
<p>Обновление безопасности устраняет уязвимость, исправляя способ обработки объектов в памяти приложением Outlook.</p>
CVE-2020-16933<p>Существует уязвимость обхода функции безопасности в программном обеспечении Microsoft Word, когда оно неправильно обрабатывает файлы .LNK. Злоумышленник, успешно использовавший эту уязвимость, может использовать специально созданный файл для выполнения действий в контексте безопасности текущего пользователя. Например, файл может затем выполнять действия от имени вошедшего в систему пользователя с теми же разрешениями, что и у текущего пользователя.</p>
<p>Чтобы воспользоваться этой уязвимостью, пользователь должен открыть специально созданный файл с уязвимой версией программного обеспечения Microsoft Word. В сценарии атаки по электронной почте злоумышленник может воспользоваться уязвимостью, отправив специально созданный файл пользователю и убедив пользователя открыть файл. В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает контент, предоставленный пользователем), содержащий специально созданный файл, предназначенный для эксплуатации уязвимости. Однако у злоумышленника не было бы возможности заставить пользователя посетить веб-сайт. Вместо этого злоумышленнику пришлось бы убедить пользователя щелкнуть ссылку, как правило, посредством заманивания в электронном письме или сообщении в службе обмена мгновенными сообщениями, а затем убедить пользователя открыть специально созданный файл.</p>
<p>Обновление безопасности устраняет эту уязвимость, исправляя способ обработки этих файлов Microsoft Word.</p>
CVE-2020-1594<p>Существует уязвимость удаленного выполнения кода в программном обеспечении Microsoft Excel, когда программное обеспечение неправильно обрабатывает объекты в памяти. Злоумышленник, успешно использовавший эту уязвимость, может выполнить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над уязвимой системой. После этого злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя. Пользователи, учетные записи которых настроены с меньшими правами пользователя в системе, могут быть менее подвержены воздействию, чем пользователи, работающие с правами администратора.</p>
<p>Для использования этой уязвимости необходимо, чтобы пользователь открыл специально созданный файл с уязвимой версией Microsoft Excel. В сценарии атаки по электронной почте злоумышленник может использовать уязвимость, отправив специально созданный файл пользователю и убедив его открыть этот файл. В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает пользовательский контент), содержащий специально созданный файл, предназначенный для использования этой уязвимости. Злоумышленник не сможет заставить пользователей посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователей щелкнуть ссылку, обычно путем заманивания в электронном письме или мгновенном сообщении, а затем убедить их открыть специально созданный файл.</p>
<p>Обновление безопасности устраняет эту уязвимость, исправляя способ обработки объектов в памяти Microsoft Excel.</p>
CVE-2020-1498Уязвимость удаленного выполнения кода существует в программном обеспечении Microsoft Excel, когда программное обеспечение неправильно обрабатывает объекты в памяти. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над уязвимой системой. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя. Пользователи, учетные записи которых настроены с меньшими правами пользователя в системе, могут быть менее подвержены воздействию, чем пользователи, работающие с правами администратора.
Для эксплуатации уязвимости требуется, чтобы пользователь открыл специально созданный файл с уязвимой версией Microsoft Excel. В сценарии атаки по электронной почте злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный файл пользователю и убедив его открыть файл. В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, который принимает или размещает предоставляемый пользователем контент), содержащий специально созданный файл, предназначенный для использования этой уязвимости. У злоумышленника не будет возможности заставить пользователей посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователей перейти по ссылке, обычно путем заманивания в электронном письме или мгновенном сообщении, а затем убедить их открыть специально созданный файл.
Обновление безопасности устраняет эту уязвимость, исправляя способ обработки объектов в памяти в Microsoft Excel.
CVE-2020-1496Уязвимость удаленного выполнения кода существует в программном обеспечении Microsoft Excel, когда программное обеспечение неправильно обрабатывает объекты в памяти. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над уязвимой системой. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя. Пользователи, учетные записи которых настроены с меньшими правами пользователя в системе, могут быть менее подвержены воздействию, чем пользователи, работающие с правами администратора.
Для эксплуатации уязвимости требуется, чтобы пользователь открыл специально созданный файл с уязвимой версией Microsoft Excel. В сценарии атаки по электронной почте злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный файл пользователю и убедив его открыть файл. В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, который принимает или размещает предоставляемый пользователем контент), содержащий специально созданный файл, предназначенный для использования этой уязвимости. У злоумышленника не будет возможности заставить пользователей посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователей перейти по ссылке, обычно путем заманивания в электронном письме или мгновенном сообщении, а затем убедить их открыть специально созданный файл.
Обновление безопасности устраняет эту уязвимость, исправляя способ обработки объектов в памяти в Microsoft Excel.
CVE-2020-1495Уязвимость удаленного выполнения кода существует в программном обеспечении Microsoft Excel, когда программное обеспечение неправильно обрабатывает объекты в памяти. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над уязвимой системой. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя. Пользователи, учетные записи которых настроены с меньшими правами пользователя в системе, могут быть менее подвержены воздействию, чем пользователи, работающие с правами администратора.
Для эксплуатации уязвимости требуется, чтобы пользователь открыл специально созданный файл с уязвимой версией Microsoft Excel. В сценарии атаки по электронной почте злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный файл пользователю и убедив его открыть файл. В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, который принимает или размещает предоставляемый пользователем контент), содержащий специально созданный файл, предназначенный для использования этой уязвимости. У злоумышленника не будет возможности заставить пользователей посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователей перейти по ссылке, обычно путем заманивания в электронном письме или мгновенном сообщении, а затем убедить их открыть специально созданный файл.
Обновление безопасности устраняет эту уязвимость, исправляя способ обработки объектов в памяти в Microsoft Excel.
CVE-2020-1494Уязвимость удаленного выполнения кода существует в программном обеспечении Microsoft Excel, когда программное обеспечение неправильно обрабатывает объекты в памяти. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над уязвимой системой. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя. Пользователи, учетные записи которых настроены с меньшими правами пользователя в системе, могут быть менее подвержены воздействию, чем пользователи, работающие с правами администратора.
Для эксплуатации уязвимости требуется, чтобы пользователь открыл специально созданный файл с уязвимой версией Microsoft Excel. В сценарии атаки по электронной почте злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный файл пользователю и убедив его открыть файл. В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, который принимает или размещает предоставляемый пользователем контент), содержащий специально созданный файл, предназначенный для использования этой уязвимости. У злоумышленника не будет возможности заставить пользователей посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователей перейти по ссылке, обычно путем заманивания в электронном письме или мгновенном сообщении, а затем убедить их открыть специально созданный файл.
Обновление безопасности устраняет эту уязвимость, исправляя способ обработки объектов в памяти в Microsoft Excel.
CVE-2020-1483Уязвимость удаленного выполнения кода существует в Microsoft Outlook, когда программное обеспечение неправильно обрабатывает объекты в памяти. Злоумышленник, успешно использовавший эту уязвимость, может выполнить произвольный код в контексте текущего пользователя. Если текущий пользователь вошел в систему с правами администратора, злоумышленник может получить контроль над уязвимой системой. Затем злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создать новые учетные записи с полными правами пользователя. Пользователи, учетные записи которых настроены с меньшими правами пользователя в системе, могут быть менее подвержены воздействию, чем пользователи, работающие с правами администратора.
Для эксплуатации этой уязвимости необходимо, чтобы пользователь открыл специально созданный файл с уязвимой версией программного обеспечения Microsoft Outlook. В сценарии атаки по электронной почте злоумышленник может использовать эту уязвимость, отправив специально созданный файл пользователю и убедив пользователя открыть этот файл. В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает контент, предоставляемый пользователем), который содержит специально созданный файл, предназначенный для использования этой уязвимости. У злоумышленника не будет возможности заставить пользователей посещать веб-сайт. Вместо этого злоумышленнику придется убедить пользователей щелкнуть ссылку, как правило, путем привлечения по электронной почте или в мгновенном сообщении, а затем убедить их открыть специально созданный файл.
Обратите внимание, что если в таблице затронутых продуктов серьезность указана как критическая, то область предварительного просмотра является вектором атаки.
Обновление безопасности устраняет эту уязвимость, исправляя способ обработки объектов в памяти Outlook.
CVE-2020-1447Уязвимость удаленного выполнения кода существует в Microsoft Word software, когда она неправильно обрабатывает объекты в памяти, также известная как «Уязвимость удаленного выполнения кода Microsoft Word». Этот идентификатор CVE отличается от CVE-2020-1446, CVE-2020-1448.