Блог IT для Windows

Все про Windows, программное обеспечение, информационную безопасность, программирование

В MS Word обнаружена уязвимость

E-mail Печать PDF
(1 голос, среднее 5.00 из 5)

В популярном приложении Microsoft Word обнаружили критическую уязвимость, позволяющую удаленно выполнить произвольный код. Проэксплуатировать уязвимость можно, заставив жертву открыть вредоносный документ и кликнуть на встроенное видео.

Проблема связана с тем, как в MS Office обрабатывают видеоматериалы. Злоумышленники могут использовать ее в фишинговых атаках и отправлять жертвам документы со встроенным YouTube-видео (или любым другим online-видео), прикрывая им запущенный в фоновом режиме html- или javascript-код.

Для осуществления атаки злоумышленники должны встроить видео в документ Word, отредактировать XML-файл с именем document.xml и заменить ссылку на видео модифицированной полезной нагрузкой, открывающей менеджер загрузки Internet Explorer со встроенным файлом для выполнения кода.

По словам исследователей, именно в XML-файле и кроется наибольшая угроза. Злоумышленники могут модифицировать параметр embeddedHTML таким образом, чтобы плавающий фрейм видео перенаправлялся на нужный html- или javascript-код.

Официального исправления для уязвимости нет, и единственный способ обезопасить себя от ее эксплуатации – включить блокировку для файлов со встроенным видео. Похоже, Microsoft не будет выпускать патч, поскольку ПО работает как положено. «Продукт правильно интерпретирует HTML, как и было задумано, и работает по тому же принципу, что и другие аналогичные продукты», приводит The Register слова старшего директора компании Джеффа Джонса.

Источник: https://www.securitylab.ru/news/496153.php


 

Добавить комментарий


Защитный код
Обновить

Праздники и история IT

Кто на сайте

Сейчас 28 гостей онлайн

Статистика

Яндекс.Метрика

Экспорт RSS

feed-image RSS

Поиск по сайту

Голосования

Какой операционной системой вы пользуетесь
 
Каким антивирусом вы пользуетесь
 

Мы в Яндекс.Дзен

Блог IT

Мы Вконтакте


Форум программистов и сисадминов Киберфорум