Компания Microsoft официально подтвердила наличие двух критических уязвимостей в пакете офисных приложений Office, которые позволяют злоумышленникам выполнять произвольный код на атакованных системах. Обе проблемы были обнародованы 9 сентября 2025 года и получили идентификаторы CVE-2025-54910 и CVE-2025-54906.
Детали уязвимостей
Эти уязвимости затрагивают Microsoft Office под управлением операционной системы Windows и могут быть использованы для получения полного контроля над целевыми компьютерами. Первая уязвимость, обозначенная как CVE-2025-54910, представляет собой переполнение кучи в механизме визуализации Office. Для её активации злоумышленнику необходимо убедить пользователя открыть специально созданный документ со злонамеренным содержимым. Успешная эксплуатация приводит к выполнению удаленного кода в контексте текущего пользователя, что потенциально позволяет устанавливать программы, изменять или удалять данные. Microsoft присвоила данной уязвимости статус "Критическая" с базовым показателем CVSS 3.1 на уровне 8,4 и временным score 7,3.
Вторая проблема, CVE-2025-54906, является уязвимостью типа use-after-free в компоненте, отвечающем за обработку встроенных объектов. В этом случае атакующий также должен заставить жертву открыть вредоносный документ, что приводит к обращению к уже освобожденной области памяти. Результатом становится выполнение произвольного кода с привилегиями пользователя. Хотя данная уязвимость считается менее опасной, её максимально возможное воздействие также оценивается как выполнение удаленного кода. Microsoft присвоила ей статус "Важная" с базовой оценкой CVSS 3.1 в 7,8 и временной 6,8.
Обе уязвимости имеют схожие сценарии эксплуатации: они требуют взаимодействия пользователя с специально подготовленным файлом Office. Для атаки не требуются дополнительные привилегии или сложные конфигурации, хотя для доставки вредоносного документа может использоваться сетевой доступ. Злоумышленники обычно распространяют такие файлы через фишинговые письма или скомпрометированные веб-сайты. После выполнения полезная нагрузка может устанавливать вредоносное программное обеспечение, похищать конфиденциальные данные или создавать постоянные бэкдоры.
Microsoft выпустила обновления безопасности для устранения обеих уязвимостей в поддерживаемых версиях Office для Windows. Системным администраторам и конечным пользователям рекомендуется немедленно установить патчи через Центр обновления Windows или каталог Microsoft Update. Включение автоматического обновления обеспечивает своевременную установку будущих исправлений.
CVE-2025-54910 и CVE-2025-54906 представляют значительные риски, которые могут привести к полному компрометации системы. Своевременное применение обновлений безопасности Microsoft является наиболее эффективной защитой. Пользователям следует сохранять бдительность в отношении фишинговых атак и подозрительных источников файлов, чтобы минимизировать вероятность эксплуатации уязвимостей. Эксперты по кибербезопасности рекомендуют организациям проверить свои системы на наличие уязвимых версий Office и обеспечить применение всех последних патчей в кратчайшие сроки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-54910
- https://www.cve.org/CVERecord?id=CVE-2025-54906
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54910
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54906
