首页 新闻 Check Point在 Microsoft Office 中发现了四个安全漏洞

企业新闻

Check Point在 Microsoft Office 中发现了四个安全漏洞

日期:2022年05月10日

       CheckPointResearch(CPR)发现了四个影响MicrosoftOffice套件产品(包含Excel和OfficeOnline)的安全缝隙, Windows用户应引诱更新软件。这些缝隙源于缠绵代码, 支撑进犯者通过Word、Excel和Outlook等歹意Office文档在进犯目标上履行代码。CheckPointResearch(CPR)近来发现了四个影响MicrosoftOffice套件产品(包含Excel和OfficeOnline)的安全缝隙。进犯者可使用这些缝隙, 通过Word(.DOCX)、Excel(.EXE)和Outlook(.EML)等歹意Office文档在进犯目标上履行代码。这些缝隙源于在Excel95文件格局中发现的缠绵代码解析过错, 研讨人员据此揣度这些安全缝隙已存在多年。CheckPoint安全团队研讨标明:歹意代码可能是通过Word文档(.DOCX)、Outlook电子邮件(.EML)及大多数工作文件格局进行传送的;这些缝隙是由于缠绵代码的解析过错形成;CPR负责任地向Microsoft披露了这些安全缝隙, Microsoft随后发布了修正程序:CVE-2021-31174、CVE-2021-31178、CVE-2021-31179、CVE-2021-31939。发现CPR通过“含糊测验”MSGraph发现了这些缝隙, MSGraph组件可嵌入到MicrosoftOffice产品中以协助显现图形和图表。含糊测验是一种自动化软件测验络绎不绝,

它企图通过将无效和意想不到的数据输入随机输入到计算机程序中来寻觅可破解的软件缺陷, 然后发现编码过错和安全缝隙。凭借该络绎不绝,

CPR发现了MSGraph中易受进犯的功用。通过相似的代码查看证明, 这些易受进犯的功用通用于多种不同的MicrosoftOffice产品, 例如Excel、OfficeOnlineServer和ExcelforOSX。
       进犯办法发现的缝隙可嵌入到大多数Office文档中, 因而多种进犯向量可供使用。其间, 最简略的一种是:1.受害者下载歹意Excel文件(XLS格局)。进犯者可通过下载链接或电子邮件传送该文件, 但无法苦楚受害者进行下载2.受害者翻开歹意Excel文件3.缝隙被触发由于整个Office套件都可以嵌入Excel目标, 可供使用的进犯向量大大添加, 这使得进犯者简直可以对一切Office软件(包含Word、Outlook等)建议此类进犯。Microsoft已发布补丁CPR负责任地向Microsoft披露了其查询结果。Microsoft随后修补了安全缝隙并发布了CVE-2021-31174、CVE-2021-31178、CVE-2021-31179。第四个补丁已于2021年6月8日星期二在Microsoft补丁下载中心发布, 编号为(CVE-2021-31939)。
       CheckPointSoftware网络研讨主管YanivBalmas表明:“新发现的安全缝隙可影响简直整个MicrosoftOffice生态系统。
       进犯者简直可以在一切Office软件上履行此类进犯, 包含Word、Outlook和其他软件。咱们发现这些安全缝隙是由于缠绵代码的解析过错形成的。咱们的首要查询结果之一便是缠绵代码仍然是安全链中的一个薄弱环节, 尤其是在MicrosoftOffice等杂乱软件中。
       虽然咱们只在进犯面上查询发现了四个缝隙, 但没人知道还有多少这样的潜藏缝隙没有被发现。
       我强烈建议Windows用户当即更新软件, 由于进犯者可通过多种进犯向量触发咱们发现的缝隙。”

相关新闻

  • 2022-05-25 15:38:09

    2021DataCon大数据安全分析竞赛启动 挖掘“数据探案”高手

    9月18日下午,2021DataCon大数据安全分析大赛启动仪式在北京举行。DataCon专家委员会主任段海新、蚂蚁集团副总裁魏涛、DataCon技术委员会副主任郑晓峰、Coremail科技副总裁林彦忠、奇安信A组-团队负责人赵金龙网络犯罪研究中心主任,出席启动仪式,大赛官网即日起正式开放报名。作为......

  • 2022-05-24 15:07:28

    中文在线童之磊讲网络文学使命与担当,要打造穿越时空的作品

    9月27日上午,2021世界互联网大会乌镇峰会“数字时代网络内容创新高端论坛”在乌镇举行。该论坛由中国作协主办,聚焦数字时代的网络内容创新。中央网信办副主任、国家网信办副主任盛荣华,中国作协党组成员、书记处书记胡邦生,常委朱国贤浙江省委常委、宣传部部长、网红代表、互联网企业负责人、专家学者、网络作家......

  • 2022-05-06 12:48:22

    即时通讯赛道开打信创牌 一篇文章教你信创im怎么选

    伴随着“新基建”的全面发动,信创也成为现象级的风口。现在,在IT根底设施、根底软件等底层范畴,国产代替动作已适当显着,作为应用软件重要一环的作业协同软件,天然也在信创风口下大步向前。而作业协同软件中,即时通讯东西的信创国产化更是首战之地。究竟哪家信创IM的体现更好更抢眼?小编就选择了融云、容联、36......

联系我们