探索网络安全新技术
攀登黑客技术最高峰

CVE-2023-33162:Microsoft Office 在野 0day 漏洞

在本月(七月)的安全公告中,微软公司发布了包含修复此漏洞补丁的安全更新,并为此漏洞分配 CVE-2023-33162 编号。360混天零实验室的三位安全研究员获得致谢。

安全公告:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33162

CVE-2023-33162:Microsoft Office 在野 0day 漏洞-威武网安

漏洞详情

基本信息

漏洞类型:Microsoft Excel 信息泄露漏洞

最高严重性:重要

基本分数指标:5.5

攻击途径:本地

攻击完整性:低

所需特权:无

用户交互:所需

影响范围:未改变

保密性:高

完整性:无

可用性:无

漏洞可利用性

公开披露:否

在野利用:否

最新版本:利用的可能性较小

漏洞影响面

Microsoft Excel 2013 Service Pack 1 (64-bit editions)
Microsoft Excel 2013 Service Pack 1 (32-bit editions)
Microsoft Excel 2013 RT Service Pack 1
Microsoft Excel 2016 (64-bit edition)
Microsoft Excel 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office Online Server
Microsoft Office 2019 for Mac
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions

漏洞成因

包含此漏洞的文件是一个“xlsx”格式的表格文档文件。通过 Microsoft Excel 软件的最新版本打开此文件时,将会导致此漏洞的触发,漏洞触发点位于 Excel.exe 模块文件中。这是 Excel 软件的核心模块。
因为透视表(IPivotTable)刷新过程中透视表对象偏移 0x74 的字段为 0 导致申请了一个 0 字节大小的内存块,后续又对其进行访问,导致漏洞的触发。

CVE-2023-33162:Microsoft Office 在野 0day 漏洞-威武网安

在 Microsoft Excel 中,IPivotTable 是数据透视表,用于对大量数据进行分析和可视化。通过 IPivotTable,用户可以轻松地将数据透视为行、列和值,从而快速汇总和处理大量数据。Excel 的 IPivotTable 提供了丰富的功能,可以对数据进行分类、过滤和排序以便理解数据,可以对数据进行计算和汇总,并生成交互式报表和图表以便展示数据。

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《CVE-2023-33162:Microsoft Office 在野 0day 漏洞》
文章链接:https://www.wevul.com/1912.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册