В Microsoft Office исправлена критическая уязвимость возрастом 17 лет

14.12.2017 11:28 channel4it.com/
Компания Microsoft выпустила обновления безопасности, устраняющие 53 уязвимости в продуктах производителя, в том числе проблему CVE-2017-1188 в MS Office. Обращает на себя тот факт, что она оставалась незамеченной с 2000 г., что по меркам ИТ является ранним средневековьем.
Уязвимость позволяет выполнить вредоносный код без взаимодействия с пользователем и присутствует во всех версиях пакета. Обнаруженная экспертами Embedi уязвимость затрагивает редактор формул Microsoft Equation (EQNEDT32.EXE). Microsoft по-прежнему использует старую версию EQNEDT32.EXE, скомпилированную еще 9 ноября 2000 года, в которой отсутствуют функции безопасности, добавленные в современные релизы ОС Windows. Хотя в Office 2007 производитель обновил редактор формул, но оставил предыдущую версию программы для того, чтобы пользователи могли открывать документы, содержащие математические формулы, созданные в старых версиях Office.

С помощью разработанного Microsoft двоичного анализатора BinScope специалисты выявили две уязвимости переполнения буфера в файле EQNEDT32.EXE.

«Внедрив ряд OLE-объектов, эксплуатирующих данную уязвимость, возможно выполнить произвольные команды, в т.ч.. загрузить и исполнить произвольный файл из интернета. Один из простейших способов выполнить произвольный код – запустить исполняемый файл с подконтрольного злоумышленникам WebDAV-сервера», - отметили исследователи.

Разработанная экспертами атака работает на всех версиях Microsoft Office и на всех редакциях Windows, выпущенных за последние 17 лет. А вот и ролик для тех, кто хочет подробнее ознакомиться с процессом эксплуатации уязвимости.

Комментарии

ua Ждун, 14.12.2017 11:35

Теперь этот баян будет еще и каждый день заново в ленте новостей появляться? Админу, уберите же эту старую новость. :(

ua Ждун, 13.12.2017 14:28

месячной давности новость...

Добавить комментарий