Форум   Статьи   Новости   Файлы   Bugtraq   Сниффер   Друзья   О Клубе

Последнее на Форуме

Контакты

Связь с Администрацией

hpcteam1[@]gmail.com

Новости rss

[ Добавить Новость ]

В Microsoft Office исправлена критическая уязвимость 17-летней давности


Новости /

Проблема позволяет выполнить вредоносный код без взаимодействия с пользователем и присутствует во всех версиях пакета.

В рамках «вторника исправлений» компания Microsoft выпустила обновления безопасности, устраняющие 53 уязвимости в продуктах производителя, в том числе проблему CVE-2017-1188 в MS Office, остававшуюся незамеченной в течение 17 лет. Уязвимость позволяет выполнить вредоносный код без взаимодействия с пользователем и присутствует во всех версиях пакета.

Обнаруженная экспертами компании Embedi уязвимость затрагивает редактор формул Microsoft Equation (специализированная программа для создания и редактирования математических формул, EQNEDT32.EXE). Как выяснили исследователи, Microsoft по-прежнему использует старую версию EQNEDT32.EXE, скомпилированную еще 9 ноября 2000 года, в которой отсутствуют функции безопасности, добавленные в современные релизы ОС Windows. Дальнейший анализ показал, что в Office 2007 производитель обновил редактор формул, но оставил предыдущую версию программы для того, чтобы пользователи могли открывать документы, содержащие математические формулы, созданные в старых версиях Office.

С помощью разработанного Microsoft двоичного анализатора BinScope специалисты выявили две уязвимости переполнения буфера в файле EQNEDT32.EXE.

«Внедрив ряд OLE-объектов, эксплуатирующих данную уязвимость, возможно выполнить произвольные команды (т.е. загрузить и исполнить произвольный файл из интернета). Один из простейших способов выполнить произвольный код – запустить исполняемый файл с подконтрольного злоумышленникам WebDAV-сервера», - отметили исследователи.

Разработанная экспертами атака работает на всех версиях Microsoft Office (включая Microsoft Office 365) и на всех редакциях Windows, выпущенных за последние 17 лет (как 32-х, так и 64-разрядных). Команда Embedi опубликовала ролик, демонстрирующий процесс эксплуатации уязвимости

В числе прочих Microsoft исправила 20 критических уязвимостей в браузерах Internet Explorer и Edge, а также 4 проблемы в пакете MS Office (CVE-2017-11884, CVE-2017-11882, CVE-2017-11878, CVE-2017-11854).

Источник: www.securitylab.ru

Материал добавил Komrakoff

Комментарии(0)

Дата: 2017-11-15 11:29:34

Добавить Комментарий к Материалу

Вы должны быть авторизованы на форуме чтобы добавлять комментарии. Регистрация Уже авторизованы?

Комментариев к материалу пока нет.

Последнее на Сайте

Новости

Статьи

Bugtraq

Файлы

Copyright © 2008 - 2017 «HPC». При копировании материалов ставьте ссылку на источник.
Все материалы представлены только в ознакомительных целях, администрация за их использование ответственности не несет.
Пользовательское соглашение Реклама на сайте