Microsoft Office 产品的安全更新（2019 年 11 月）

critical Nessus 插件 ID 130913

语言：

简介

Microsoft Office 产品受到多个漏洞的影响。

描述

Microsoft Office 产品缺少安全更新。因而会受到多个漏洞的影响：- Microsoft Office 软件未正确处理内存对象时，存在信息泄露漏洞。成功利用此漏洞的攻击者可获取信息而进一步危害用户系统。(CVE-2019-1402) - Microsoft Excel 软件未正确处理内存对象时，存在远程代码执行漏洞。成功利用此漏洞的攻击者可在当前用户环境中运行任意代码。如果当前用户使用管理用户权限进行登录，攻击者可控制受影响系统。然后，攻击者可安装程序、查看/更改/删除数据或创建具有完全用户权限的新帐户。(CVE-2019-1448) - Office Click-to-Run (C2R) 组件处理特制文件的方式中存在安全功能绕过漏洞，导致标准用户、任何 AppContainer 沙箱和 Office LPAC 受保护的视图升级权限至系统。(CVE-2019-1449) - Microsoft Excel 错误披露其内存内容时，存在信息泄露漏洞。利用此漏洞的攻击者能使用此信息危害用户计算机或数据。(CVE-2019-1446)

解决方案

Microsoft 已发布以下安全更新以解决此问题：-KB4484152 -KB4484160 -KB4484148 -KB4484127 -KB4484113 -KB4484119。对于 Office 365、Office 2016 C2R 或 Office 2019，请确定已启用自动更新，或开启任何 Office 应用程序并手动执行更新。