Office víctima de quatre vulnerabilitats que Microsoft ha tapat amb el Patch Tuesday de maig i de juny
Taula de continguts:
Parlar d'una suite ofimàtica és fer-ho gairebé per obligació d'Office. Però és clar, amb un desplegament tan important en milions d'equips, els forats de seguretat no triguen a aparèixer. I això és el que passa amb les aplicacions Office a Windows 10, víctimes de quatre vulnerabilitats importants
Investigadors han descobert que Word, Outlook, Excel i PowerPoint per a Windows 10, estan afectats per quatre bretxes de seguretat importants que poden provocar que un ciberatacant pugui infectar amb un sol arxiu qualsevol equip desprotegitQuatre vulnerabilitats que han estat corregides amb el Patch Tuesday de maig i el Patch Tuesday de juny
La importància d'actualitzar
La fallada té l'origen en un component usat per mostrar gràfics en les diferents aplicacions. Amb el nom de MSGraph, aquest component és present a Word, Excel, Outlook o PowerPoint. Una part del codi heretada de temps de Windows 95 que no ha estat convenientment actualitzada. Es tracta per tant de codi heretat.
La conseqüència d'aquesta bretxa de seguretat és la presència de quatre vulnerabilitats que han anomenat CVE-2021-31174, CVE-2021-31178, CVE-2021- 31179 i CVE-2021 -31939 Per mitjà de qualsevol d'elles, un atacant podria executar codi de forma remot al nostre PC només enviar un arxiu contaminat.
Segons compten els investigadors, les vulnerabilitats han estat descobertes per mitjà d'una tècnica anomenada fuzzing de manera que s'afegeixen dades de forma aleatòria un component per veure per on pot fallar i MSGraph va ser el que va sortir afectat.
I ja que és present a gairebé totes les aplicacions d'Office, inserir codi maliciós en un fitxer i distribuir-lo per infectar equips és alguna cosa no excessivament complicat.
Després de la detecció de l'error, els descobridors van seguir el protocol habitual informant Microsoft de la troballa en temps i forma (el 28 de febrer), de manera que l'empresa ha publicat els corresponents pegats del sistema Per a les tres primeres amenaces, que van arribar amb el Patch Tuesday de maig (el dia 11) mentre que l' altre que restava va ser actualitzat aquest dimarts passat per mitjà del Patch Tuesday de juny.
Via | Research Checkpoint
