Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Microsoft поправи 17-годишна уязвимост в Office

16 ноември 2017
6466 прочитания
2 одобрения
0 неодобрения

Microsoft поправи 17-годишна уязвимост в Office

Уязвимост, съществувала от 2000 г. в няколко версии на офис пакета на Microsoft бе “закърпена” от компанията. Според изследователи тя е позволявала на злоумишленици да стартират произволен код на компютъра на жертвата си, без да са необходими каквито и да е действия нейна страна.

Прочетете още: Microsoft обяви Office 2019, ако не искате да плащате за Office 365

В рамките на програмата за регулярни ъпдейти Patch Tuesday компанията поправи общо 53 уязвимости. Една от тях е CVE-2017-11882 и както личи е съществувала във всички версии на Office от 2000 г. насам.

Проблемът касае инструмента за математически формули Microsoft Equation Editor (файлът eqnedt32.exe), който позволява те да бъдат добавяни като динамични OLE обекти например в Word документи.

Според изследователи от компанията Embedi интсрументът се използва в Office от края на 2000 г. Въпреки че през 2007-ма година в пакета е добавен нов редактор за формули, споменатата версия е съхранена с цел осигуряване на обратна съвместимост със стари документи.

При използване Equation Editor стартира собствен процес, извън единния такъв на Office, и не се възползва от защитните средства на пакета, добавени в последните му версии. Специалистите от Embedi са открили в него две грешки, свързани с препълване на буфера.

Чрез използване на специално подготвени OLE обекти Equation Editor може да изпълнява произволни команди, в това число сваляне на файлове от външни източници и да стартира код, заобикаляйки защитите на Windows.

За защита от слабостта потребителите трябва да си инсталират ъпдейтите KB2553204, KB3162047, KB4011276 и KB4011262.

2 одобрения
0 неодобрения
Още от рубрика "Защита и сигурност"
КОМЕНТАРИ ОТ  
Трябва да сте регистриран потребител, за да коментирате статията
"Microsoft поправи 17-годишна уязвимост в Office"



    

абонамент за бюлетина