此安全更新可解决 MSCOMCTL 公共控件库实施中的一个秘密报告的漏洞。如果用户在能够实例化 COM 组件(如 Internet Explorer)的 Web 浏览器中查看特制网页,则该漏洞可能允许安全功能绕过。在 Web 浏览攻击情形中,成功利用此漏洞的攻击者可能会绕过地址空间布局随机化 (ASLR) 安全功能,它有助于保护用户免遭多种漏洞。该安全功能绕过本身不允许执行任意代码。但是,攻击者可能会将此 ASLR 绕过漏洞与另一个漏洞(例如,可能利用 ASLR 绕过的远程执行代码漏洞)组合使用来运行任意代码。
对于 Microsoft Office 2007、Microsoft Office 2010 和 Microsoft Office 2013 的受支持版本,此安全更新的等级为“重要”。该更新通过帮助确保 Microsoft Office 软件包含的 MSCOMCTL 公共控件库正确实施 ASLR 来解决漏洞。
More