Koodi täitmise haavatavus varjatud videote kaudu MS Wordis
Turvaeksperdid avastasid Microsoft Wordis uue vea, mis võimaldab häkkeritel süstida Wordi dokumenti pahatahtlikku koodi. Vea avastasid teadlased aadressil Tsümpuleerida ja see mõjutab Microsoft Wordi vanemaid versioone, sealhulgas Word 2016.
Viga kasutab Wordi dokumentides suvandit Online Video, mis võimaldab kasutajatel Wordi veebivideoid manustada. Kahjuks keeldus Microsoft viga haavatavaks tunnistamisest, mistõttu teadlased otsustasid oma leidudega avalikuks minna. Haavatavust saab ära kasutada, lisades kõigepealt Wordi dokumendile veebivideo ja pakkides seejärel dokumendi lahti ning asendades manustatud koodi pahavaraga.
Tsümpuleerida teadlased katsetasid isegi majasisest ärakasutamist ja nad suutsid Wordi dokumenti kinnistada video, mis seejärel klõpsamisel käivitaks pahatahtliku koodi.
Kuna Microsoft on keeldunud seda haavatavaks tunnistamast, ei looda, et ettevõte vea parandamiseks värskenduse avaldab. See jätab rünnakule palju kasutajaid ja selle probleemi parim lahendus on Wordi dokumentide blokeerimine manustatud videotega. Kuigi see on hea lahendus, on ütlematagi selge, et ei tohiks avada tundmatute saatjate faile, eriti neid, mis on alla laaditud failijagamisteenustest, mis ei käivita korralikku viirusekontrolli.
Sildid Microsoft
