Office obeťou štyroch zraniteľností, ktoré spoločnosť Microsoft zakryla opravným utorok v máji a júni
Obsah:
Hovoriť o kancelárskom balíku je takmer ako povinnosť balíka Office. Ale samozrejme, pri tak dôležitom nasadení v miliónoch počítačov na seba bezpečnostné diery nenechajú dlho čakať. A to sa deje s aplikáciami balíka Office v systéme Windows 10, obeťami štyroch hlavných zraniteľností
Výskumníci zistili, že Word, Outlook, Excel a PowerPoint pre Windows 10 sú ovplyvnené štyrmi hlavnými chybami zabezpečenia, ktoré môžu spôsobiť napadnutie kybernetického útočníka jediným súborom akýkoľvek nechránený počítačŠtyri chyby zabezpečenia, ktoré boli opravené májovým opravným utorok a júnovým opravným utorok
Význam aktualizácie
Chyba je spôsobená komponentom používaným na zobrazenie grafiky v rôznych aplikáciách. Tento komponent sa nazýva MSGraph a nachádza sa vo Worde, Exceli, Outlooku alebo PowerPointe. Časť kódu zdedená zo systému Windows 95-krát, ktorá nebola správne aktualizovaná. Ide teda o starý kód.
Dôsledkom tohto narušenia bezpečnosti je prítomnosť štyroch zraniteľností, ktoré sa začali nazývať CVE-2021-31174, CVE-2021-31178, CVE-2021- 31179 a CVE-2021 -31939 Prostredníctvom ktorejkoľvek z nich by útočník mohol na diaľku spustiť kód na našom PC len odoslaním kontaminovaného súboru.
Podľa výskumníkov zraniteľnosti boli objavené pomocou techniky nazývanej fuzzing, pri ktorej sa údaje náhodne pridávajú do komponentu, aby sa zistilo, kde sa nachádza môže zlyhať a zasiahnutý bol práve MSGraph.
A keďže je prítomný takmer v každej aplikácii balíka Office, vkladanie škodlivého kódu do súboru a jeho distribúcia na infikovanie počítačov nie je niečo prehnané komplikované.
Po zistení chyby sa objavitelia riadili obvyklým protokolom, v ktorom spoločnosť Microsoft o náleze včas informovali (28. februára), takže spoločnosť zverejnila príslušné systémové záplaty Pre prvé tri hrozby, ktoré dorazili s opravným utorkom v máji (11. mája), zatiaľ čo zvyšná bola aktualizovaná minulý utorok až júnový opravný utorok.
Via | Kontrolný bod výskumu
