Ranljivost izvedbe kode z vdelanimi videoposnetki v programu MS Word
Strokovnjaki za varnost so odkrili novo napako v programu Microsoft Word, ki hekerjem omogoča vbrizgavanje zlonamerne kode v besedilni dokument. Napako so odkrili raziskovalci na Cymulate in vpliva na starejše različice programa Microsoft Word, vključno z Word 2016.
Napaka izkorišča možnost Online Video v Wordovih dokumentih, ki uporabnikom omogoča vdelavo spletnih videoposnetkov v Word. Na žalost Microsoft ni hotel priznati napake kot ranljivosti, zato so se raziskovalci odločili, da bodo svoje ugotovitve objavili v javnosti. Ranljivost je mogoče izkoristiti tako, da v Wordov dokument najprej dodate spletni video, nato pa ga razpakirate in vdelano kodo zamenjate z zlonamerno programsko opremo.
Cymulate raziskovalci so celo preizkusili podvig v hiši in lahko so v besedilni dokument vdelali video, ki bi nato ob kliku zagnal zlonamerno kodo.
Ker Microsoft tega ni hotel priznati kot ranljivost, ne pričakujemo, da bo podjetje izdalo posodobitev, s katero bo odpravilo napako. Zaradi tega je veliko uporabnikov izpostavljeno napadu, najboljša rešitev te težave pa je blokiranje Wordovih dokumentov z vdelanimi videoposnetki. Čeprav je to dobra rešitev, je samoumevno, da ne bi smeli odpirati datotek neznanih pošiljateljev, zlasti tistih, prenesenih iz storitev za skupno rabo datotek, ki ne izvajajo ustreznega pregleda virusov.
Oznake Microsoft
