Microsoft Office — наиболее часто используемый пакет приложений, включающий в себя текстовый процессор, электронные таблицы и программное обеспечение для презентаций. Это было одно из первых приложений, которое приобрело популярность и помогло пользователям перейти от ручного документирования к цифровизации. Однако компания Check Point Research (CPR), занимающаяся кибербезопасностью, недавно обнаружила ошибку, которая, предположительно, скрывалась в течение многих лет.
Изображение: MicrosoftОб этой уязвимости было немедленно сообщено Microsoft, и было выпущено обновление. вскоре после этого был выпущен для исправления этой уязвимости. Это обновление было доступно всем пользователям Microsoft, и оно немедленно вступает в силу, делая использование MS Word, MS Excel, MS Powerpoint и MS Outlook безопасным. Этот недостаток или ошибка, как это называется в отчете CPR, был риском, обнаруженным в устаревшем коде форматов файлов Excel95. Этот формат является старым, а это означает, что уязвимость безопасности существует уже очень давно. Виноваты ошибки синтаксического анализа, поскольку они могли позволить людям со злым умыслом проникнуть в системы с установленным Microsoft Office.
Изображение: Checkpoint ResearchВ отчетах CPR также говорится, что эта уязвимость (теперь исправленная с помощью обновления) может быть используется для выполнения целевого кода через приложения и файлы MS Office, такие как Outlook (.EML), Word (.DOCX) и Excel (.EXE) и другие. Уязвимости затронули всю экосистему Microsoft Office, как старую, так и новую, что подтвердил Янив Балмас, руководитель отдела киберисследований в Check Point Software. Он также объяснил, что устаревший код является слабым звеном в цепочке безопасности Microsoft Office.
Этот недостаток был обнаружен в Microsoft Office, когда CPR пыталась протестировать Microsoft Graph, модуль MS Office, который позволяет пользователям разрабатывать схемы и схемы. Процесс, использованный компанией CPR в MS Graph, назывался Фаззинг. Это метод автоматического тестирования программного обеспечения, который выявляет ошибки программного обеспечения в любом приложении. Идея фаззинга проста: тестировщику нужно только ввести неверные данные и проверить, как приложение реагирует на эти данные, а также записать ошибки кодирования и недостатки безопасности.
Изображение: исследование контрольных точекУязвимость была обнаружена в Excel 95 — старый формат, который в настоящее время не используется, но, поскольку он поддерживается всеми приложениями MS Office, он делает все оставшиеся приложения уязвимыми для хакерских атак. CPR на данный момент обнаружил только четыре недостатка, о которых было сообщено в Microsoft, и продолжает поиск других недостатков. s в Microsoft Office.
Microsoft быстро отреагировала на отчет, отмеченный CPR, и были выпущены исправления для этой уязвимости, выпустив обновления CVE-2021-31174, CVE-2021-31178, CVE-2021-. 31179 и CVE-2021-31939. Если вы хотите обновить свой компьютер, выполните следующие действия:
Шаг 1: Нажмите Windows + I, чтобы открыть окно настроек.
Шаг 2: Нажмите «Обновление и настройки».
Шаг 3. Нажмите «Проверить наличие обновлений», и если обновления были развернуты в вашем регионе, они установятся автоматически. .
Читать: 0
