Office biktima ng apat na kahinaan na sakop ng Microsoft sa Patch Martes noong Mayo at Hunyo
Talaan ng mga Nilalaman:
Ang pag-uusap tungkol sa isang office suite ay ginagawa ito halos bilang isang obligasyon ng Office. Ngunit siyempre, sa ganoong mahalagang pag-deploy sa milyun-milyong mga computer, ang mga butas sa seguridad ay hindi nagtatagal upang lumitaw. At iyon ang nangyayari sa mga application ng Office sa Windows 10, mga biktima ng apat na pangunahing kahinaan
Natuklasan ng mga mananaliksik na ang Word, Outlook, Excel, at PowerPoint para sa Windows 10 ay apektado ng apat na pangunahing kahinaan sa seguridad na ay maaaring maging sanhi ng isang cyber attacker na mahawahan ng isang file anumang hindi protektadong computerApat na mga kahinaan na naayos sa May Patch Tuesday at June Patch Tuesday
Ang kahalagahan ng pag-update
Ang bug ay sanhi ng isang bahagi na ginagamit upang magpakita ng mga graphics sa iba't ibang mga application. Tinatawag na MSGraph, ang bahaging ito ay nasa Word, Excel, Outlook, o PowerPoint. Isang bahagi ng code na minana mula sa Windows 95 beses na hindi na-update nang maayos. Kaya ito ay legacy code.
Ang kinahinatnan ng paglabag sa seguridad na ito ay ang pagkakaroon ng apat na kahinaan na tinawag na CVE-2021-31174, CVE-2021-31178, CVE-2021- 31179 at CVE-2021 -31939 Sa pamamagitan ng alinman sa mga ito, maaaring malayuang magsagawa ng code ang isang attacker sa aming PC sa pamamagitan lamang ng pagpapadala ng kontaminadong file.
Ayon sa mga mananaliksik, mga kahinaan ay natuklasan gamit ang isang pamamaraan na tinatawag na fuzzing kung saan ang data ay random na idinagdag sa isang bahagi upang makita kung saan ito baka mabigo at si MSGraph ang natamaan.
At dahil naroroon ito sa halos lahat ng application ng Office, pagpasok ng malisyosong code sa isang file at pamamahagi nito upang makahawa sa mga computer ay isang bagay na hindi labis magulo.
Pagkatapos ng pagtuklas ng error, sinunod ng mga nakatuklas ang karaniwang protocol na nagpapaalam sa Microsoft tungkol sa paghahanap sa isang napapanahong paraan (noong Pebrero 28), upang na-publish ang kumpanya ang kaukulang mga patch ng system Para sa unang tatlong banta, na dumating kasama ang Patch Martes ng Mayo (sa ika-11) habang ang natitira ay na-update nitong nakaraang Martes hanggang sa Patch Martes ng Hunyo.
Via | Research Checkpoint
