Office נפגע מארבע נקודות תורפה שמיקרוסופט סיקרה עם Patch Tuesday בחודשים מאי ויוני
תוכן עניינים:
לדבר על חבילת אופיס זה לעשות זאת כמעט כחובה של אופיס. אבל כמובן, עם פריסה כה חשובה במיליוני מחשבים, לא לוקח הרבה זמן להופיע חורי אבטחה. וזה מה שקורה עם יישומי Office ב-Windows 10, קורבנות של ארבע פגיעות עיקריות
חוקרים גילו ש-Word, Outlook, Excel ו-PowerPoint עבור Windows 10 מושפעים מארבע פרצות אבטחה עיקריות שיכולות לגרום לתוקף סייבר להדביק בקובץ בודד כל מחשב לא מוגןארבע נקודות תורפה שתוקנו עם התיקון של מאי ביום שלישי ויוני התיקון של יום שלישי
חשיבות העדכון
הבאג נגרם על ידי רכיב המשמש להצגת גרפיקה ביישומים שונים. נקרא MSGraph, רכיב זה קיים ב-Word, Excel, Outlook או PowerPoint. חלק מהקוד שעבר בירושה מ-Windows 95 פעמים שלא עודכן כראוי. לכן זהו קוד מדור קודם.
התוצאה של פרצת אבטחה זו היא נוכחותן של ארבע נקודות תורפה שנקראו CVE-2021-31174, CVE-2021-31178, CVE-2021- 31179 ו-CVE-2021 -31939 דרך כל אחד מהם, תוקף יכול להפעיל מרחוק קוד במחשב האישי שלנו רק על ידי שליחת קובץ מזוהם.
לפי חוקרים, חולשות התגלו באמצעות טכניקה שנקראת fuzzing שבה נתונים מתווספים באופן אקראי לרכיב כדי לראות היכן הם עלול להיכשל ו-MSGraph היה זה שנפגע.
ומכיוון שהוא קיים כמעט בכל יישום Office, הוספת קוד זדוני לקובץ והפצתו כדי להדביק מחשבים זה משהו לא מוגזם מורכב.
לאחר גילוי השגיאה, המגלים עקבו אחר הפרוטוקול הרגיל שהודיע למיקרוסופט על הממצא בזמן (ב-28 בפברואר), כך שהחברה פרסמה תיקוני המערכת התואמים עבור שלושת האיומים הראשונים, שהגיעו עם התיקון ביום שלישי של מאי (ב-11) בעוד שהשאר עודכן ביום שלישי האחרון עד יום שלישי של התיקון של יוני.
Via | מחסום מחקר
