CVE編號 | CVE-2014-6356;CVE-2014-6357 |
---|---|
影響產品 | 對於所有受支援版本的 Microsoft Word 2007、Microsoft Office 2010、Microsoft Word 2010、Microsoft Word 2013、Microsoft Word 2013 RT、Microsoft Office for Mac 2011、Microsoft Word Viewer、Microsoft Office Compatibility Pack,以及受支援版本 Microsoft SharePoint Server 2010、Microsoft SharePoint Server 2013 和 Microsoft Office Web Apps Server 2013 上受影響的 Microsoft Office 服務與 Web Apps,此資訊安全更新的等級為「重大」。 |
解決辦法 | 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。對於沒有啟用自動更新的客戶,可採取開啟或關閉自動更新中的步驟來啟用自動更新。 |
張貼日 | 2014-12-09 |
上稿單位 | TWCERT/CC |
此資訊安全更新可解決 Microsoft Word 和 Microsoft Office Web Apps 中兩項未公開報告的資訊安全風險。如果攻擊者說服使用者在受影響的 Microsoft Office 軟體版本中開啟或預覽蓄意製作的 Microsoft Word 檔案,資訊安全風險可能會允許遠端執行程式碼。成功利用資訊安全風險的攻擊者可以取得與目前使用者相同的使用者權限。如果目前的使用者以系統管理的使用者權限登入,攻擊者接下來就能安裝程式,並檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。系統上帳戶使用者權限較低的客戶,其受影響的程度比擁有系統管理權限的使用者要小。
此資訊安全更新可修正 Microsoft Word 剖析蓄意製作之 Office 檔案的方式,進而解決資訊安全風險。