В приложениях Microsoft 365 было обнаружено более сотни новых уязвимостей
В приложениях Microsoft 365 было обнаружено более сотни новых уязвимостей. Фото: СС0
Исследователи также утверждают, что им удалось обойти исправления, выпущенные Microsoft для устранения этих недостатков.
Команда ThreatLabz компании Zscaler опубликовала отчет, в котором утверждается, что она обнаружила 117 уязвимостей в приложениях Microsoft 365. Они появились из-за внедрения все из-за пакета повышения производительности, поддерживающего 3D-файлы SketchUp — SKP.
По сути, программа позволяет пользователям добавлять 3D-модели в документы Microsoft и была впервые представлена в августе 2000 года. В прошлом году она была интегрирована в компонент Office 3D Microsoft 365.
Проведя обратное проектирование компонентов Office 3D, исследователи обнаружили, что команда Microsoft использовала несколько API SketchUp C, чтобы позволить программам анализировать файл SKP. Это привело их сначала к обнаружению 20 недостатков, а затем еще 97 недостатков. Большинство из них — это уязвимости, связанные с переполнением буфера, записью за пределами допустимого диапазона или переполнением буфера стека.
Microsoft отнесла все недостатки к категории «удаленного выполнения кода» (RCE) и сгруппировала в три CVE: CVE: CVE-2023-28285, CVE-2023-29344 и CVE-2023-33146. Всем трем присвоен статус «высокая степень опасности» с оценкой 7,8 из 10.
В Microsoft отключили поддержку SketchUp, поскольку исследователям удалось обойти опубликованные ею исправления.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Упомянутый сервис
40143
Комментариев пока не было