Уязвимост при изпълнение на кода чрез вградени видеоклипове в MS Word
Експертите по сигурността откриха нова грешка в Microsoft Word, която позволява на хакерите да инжектират злонамерен код в word документ. Грешката е открита от изследователи в Цимулиране и засяга по-стари версии на Microsoft Word, включително Word 2016.
Грешката използва опцията Онлайн видео в документи на Word, която позволява на потребителите да вграждат онлайн видеоклипове в Word. За съжаление, Microsoft отказа да признае грешката като уязвимост, поради което изследователите решиха да оповестят публично своите констатации. Уязвимостта може да бъде използвана чрез първо добавяне на онлайн видео към документа на Word и след това разопаковане на документа и замяна на вградения код със злонамерен софтуер.
Цимулиране изследователите дори тестваха експлоата вътрешно и успяха да вградят видеоклип в word документ, който след това ще пусне злонамерен код при кликване.
Тъй като Microsoft отказа да признае това като уязвимост, не очакваме компанията да пусне актуализация, за да коригира грешката. Това оставя много потребители изложени на атаката и най-доброто решение на този проблем е да блокирате Word документи с вградени видеоклипове. Макар че това е добро решение, разбира се, не трябва да се отварят файлове от неизвестни податели, особено тези, изтеглени от услуги за споделяне на файлове, които не изпълняват правилно сканиране на вируси.
Етикети Microsoft
