Office upuris četru ievainojamību dēļ, ko Microsoft ir novērsis ar ielāpu otrdienu maijā un jūnijā

Runājot par biroja komplektu, tas ir gandrīz kā Office pienākums. Bet, protams, ar tik svarīgu izvietošanu miljonos datoru, drošības caurumi parādās neilgi. Un tas notiek ar Office lietojumprogrammām operētājsistēmā Windows 10, četru galveno ievainojamību upuriem

Pētnieki ir atklājuši, ka Word, Outlook, Excel un PowerPoint operētājsistēmai Windows 10 ietekmē četras lielas drošības ievainojamības, kas var izraisīt kiberuzbrucēja inficēšanos ar vienu failu. jebkurš neaizsargāts datorsČetras ievainojamības, kas tika novērstas ar maija ielāpu otrdienu un jūnija ielāpu otrdienu

Atjaunināšanas nozīme

Kļūdu izraisa komponents, ko izmanto grafikas attēlošanai dažādās lietojumprogrammās. Šis komponents, ko sauc par MSGraph, ir pieejams programmā Word, Excel, Outlook vai PowerPoint. Daļa koda, kas mantota no Windows 95 reizes un nav pareizi atjaunināta. Tāpēc tas ir mantots kods.

Šī drošības pārkāpuma sekas ir četras ievainojamības, kuras ir sākušas saukt par CVE-2021-31174, CVE-2021-31178, CVE-2021- 31179 un CVE-2021 -31939 Izmantojot jebkuru no tiem, uzbrucējs var attālināti izpildīt kodu mūsu datorā, vienkārši nosūtot inficētu failu.

Saskaņā ar pētniekiem, ievainojamības ir atklātas, izmantojot paņēmienu, ko sauc par fuzzing, kurā dati tiek nejauši pievienoti komponentam, lai redzētu, kur tas atrodas var neizdoties, un MSGraph tika trāpīts.

Un tā kā tas ir pieejams gandrīz visās Office lietojumprogrammās, ļaunprātīga koda ievietošana failā un tā izplatīšana, lai inficētu datorus, nav pārāk daudz. sarežģīti.

Pēc kļūdas atklāšanas atklājēji ievēroja ierasto protokolu, laicīgi (28. februārī) informējot Microsoft par atradumu, lai uzņēmums ir publicējis attiecīgie sistēmas ielāpi Pirmajiem trim draudiem, kas tika saņemti ar ielāpu otrdienu maijā (11. datumā), bet atlikušais tika atjaunināts pagājušajā otrdienā līdz jūnija ielāpu otrdienai.

Via | Pētījuma kontrolpunkts