Office là nạn nhân của 4 lỗ hổng mà Microsoft đã vá bằng Bản vá Thứ Ba vào tháng 5 và tháng 6
Mục lục:
Nói đến bộ office là làm nó gần như là nghĩa vụ của Office. Nhưng tất nhiên, với việc triển khai quan trọng như vậy trong hàng triệu máy tính, các lỗ hổng bảo mật sẽ không mất nhiều thời gian để xuất hiện. Và đó là điều xảy ra với các ứng dụng Office trong Windows 10, nạn nhân của bốn lỗ hổng lớn
Các nhà nghiên cứu đã phát hiện ra rằng Word, Outlook, Excel và PowerPoint dành cho Windows 10 bị ảnh hưởng bởi bốn lỗ hổng bảo mật chính mà có thể khiến kẻ tấn công mạng lây nhiễm vào một tệp duy nhất bất kỳ máy tính nào không được bảo vệBốn lỗ hổng đã được vá với Bản vá Thứ Ba Tháng Năm và Bản vá Thứ Ba Tháng Sáu
Tầm quan trọng của việc cập nhật
Lỗi do một thành phần được sử dụng để hiển thị đồ họa gây ra trong các ứng dụng khác nhau. Được gọi là MSGraph, thành phần này có trong Word, Excel, Outlook hoặc PowerPoint. Một phần mã kế thừa từ Windows 95 chưa được cập nhật đúng cách. Do đó, đây là mã cũ.
Hậu quả của vi phạm bảo mật này là có bốn lỗ hổng được gọi là CVE-2021-31174, CVE-2021-31178, CVE-2021- 31179 và CVE-2021 -31939 Thông qua bất kỳ mã nào trong số đó, kẻ tấn công có thể thực thi mã từ xa trên PC của chúng tôi chỉ bằng cách gửi một tệp bị nhiễm độc.
Theo các nhà nghiên cứu, vulnerabilities đã được phát hiện bằng kỹ thuật gọi là fuzzing trong đó dữ liệu được thêm ngẫu nhiên vào một thành phần để xem vị trí của nó có thể bị lỗi và MSGraph là thứ bị ảnh hưởng.
Và vì nó có mặt trong hầu hết mọi ứng dụng Office nên chèn mã độc vào một tệp và phân phối mã đó để lây nhiễm vào máy tính là điều không quá phức tap.
Sau khi phát hiện lỗi, những người phát hiện đã làm theo giao thức thông thường để thông báo kịp thời cho Microsoft về phát hiện này (vào ngày 28 tháng 2), để công ty đã xuất bản các bản vá hệ thống tương ứng Đối với ba mối đe dọa đầu tiên, xuất hiện cùng với Bản vá Thứ Ba của tháng 5 (vào ngày 11) trong khi mối đe dọa còn lại được cập nhật vào Thứ Ba vừa qua cho đến Bản vá Thứ Ba của tháng Sáu.
Via | Điểm kiểm tra nghiên cứu
