В самой компании Microsoft пока не признали уязвимость существенной, сообщает Security Week.
По словам исследователей безопасности, проблема, которая предположительно влияет на всех пользователей Office 2016 и старше, может быть использована без специальной настройки. Кроме того, пользователю не покажут предупреждение о безопасности, когда откроется вредоносный документ.
Эта уязвимость создается, когда пользователь использует функцию "онлайн-видео" для встраивания видео в свой документ. Ошибка находится в связанном файле document.xml, который содержит параметр embeddedHtml (под WebVideoPr), который ссылается на код iframe YouTube.
Проблема, по мнению исследователей, заключается в том, что злоумышленник может заменить код iframe YouTube на вредоносный код HTML / JavaScript, который будет работать в фоновом режиме. Вместо того, чтобы связываться с фактическим видео на YouTube, будет открыт Internet Download Download Manager с исполняемым файлом встроенного кода.
Интересно, что инженеры компании Cymulate сообщили в Microsoft о проблеме еще три месяца назад. Тем не менее, разработчик программного обеспечения не признал это уязвимостью безопасности.
"Поскольку это конкретное уклонение можно также рассматривать как уязвимость, мы представили это Microsoft 3 месяца назад, прежде чем мы показали его на нашей платформе. Они не признали это недостатком", - говорит соучредитель и технический директор Cymulate Авихай Бен-Йосеф.