CVE-2026-33822Microsoft Office Word中存在一个越界读取漏洞。由于软件未能正确处理内存中的对象,未经授权的攻击者可以利用此漏洞。攻击者需要诱导用户打开特制的文件,从而在本地系统中披露敏感信息,并可能导致应用程序可用性受到严重影响。
该漏洞的根源在于 Microsoft Office Word 处理特定文档格式时的内存管理机制存在缺陷。软件在解析文件结构时,未对读取操作的范围进行严格的边界检查,导致发生了越界读取。攻击向量为本地(AV:L),且需要用户交互(UI:R),这意味着攻击者无法直接远程触发漏洞,必须诱导用户执行特定操作,通常是打开包含恶意构造内容的文档文件。当受害者打开特制文档时,Word 的解析引擎会访问分配缓冲区之外的内存区域。虽然这通常不会导致代码执行,但它允许攻击者从内存中读取敏感数据(机密性影响 C:L),如指针值、加密密钥片段或其他进程信息。同时,由于可用性影响为高(A:H),这种非法内存访问极有可能导致应用程序异常终止或服务拒绝。攻击者可以利用泄露的信息绕过地址空间布局随机化(ASLR)等防御机制,为后续的漏洞利用链创造条件。