Microsoft исправит уязвимость в Office, уходящую корнями в устаревший код

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

8 июня 2021 года

<dynamicpagelist>

category = Опубликовано category = Информационная безопасность notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

Четыре уязвимости в Microsoft Office, включая Excel и Office online, потенциально могут быть проэксплуатированы злоумышленниками для доставки вредоносного кода через документы Word и Excel.

«Уходящие корнями в устаревший код уязвимости могут обеспечить атакующему возможность выполнения кода на атакуемой системе через вредоносные документы Office, таких как Word, Excel и Outlook», - сообщили

	исследователи ИБ-компании Check Point.

Три из четырех упомянутых уязвимостей ( CVE-2021-31174, CVE-2021-31178 и CVE-2021-31179 ) были исправлены компанией Microsoft в прошлом месяце в рамках «вторника исправлений», однако четвертый патч для уязвимости использования памяти после высвобождения (CVE-2021-31939) будет выпущен сегодня, 8 июня.

В предполагаемом сценарии атаки четвертая уязвимость может быть проэксплуатирована с помощью одного лишь открытия вредоносного файла Excel (.XLS), доставленного через ссылку для загрузки или электронную почту.

Уязвимости существуют из-за ошибок синтаксического анализа, допущенных в устаревшем коде файловых форматов Excel 95. Проблемы были обнаружены в процессе фаззинга MSGraph («MSGraph.Chart.8»), сравнительно мало изученном компоненте Microsoft Office, равноценном редактору формул Equation Editor с точки зрения поверхности атаки. Редактор формул (в современных версиях Word данная функция отсутствует) входит в арсенал нескольких связанных между собой злоумышленников как минимум с конца 2018 года.

«Поскольку весь пакет Office имеет возможность встраивать объекты Excel, это расширяет вектор атаки, позволяя осуществить атаку практически на любое программное обеспечение Office, включая Word, Outlook и другие», - пояснили исследователи.

В настоящее время технические подробности об уязвимости

CVE-2021-31939 весьма ограничены. Вероятно, это связано с тем, чтобы позволить
большинству пользователей установить исправления и предотвратить создание вредоносных
эксплоитов.
 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Microsoft исправит уязвимость в Office, уходящую корнями в устаревший код