У коді Microsoft Word знайшли небезпечну уразливість

30 жовтня 2018, 11:57

Експерти виявили новий спосіб зараження комп'ютерів користувачів через відео, вбудовані у файли Microsoft Word.

У самій компанії Microsoft поки не визнали вразливість суттєвою, повідомляє Security Week.

За словами дослідників безпеки, проблема, яка, ймовірно, впливає на всіх користувачів Office 2016 і старше, може бути використана без спеціального налаштування. Крім того, користувачеві не покажуть попередження про безпеку, коли відкриється шкідливий документ.

Відео дня

Ця вразливість створюється, коли користувач використовує функцію "онлайн-відео" для вбудовування відео в свій документ. Помилка знаходиться у зв'язаному файлі document.xml, який містить параметр embeddedHtml (під WebVideoPr), який посилається на код iframe YouTube.

Проблема, на думку дослідників, полягає в тому, що зловмисник може замінити код iframe YouTube на шкідливий код HTML/JavaScript, який буде працювати у фоновому режимі. Замість того, щоб зв'язуватися з фактичним відео на YouTube, буде відкритий Internet Download Download Manager з виконуваним файлом вбудованого коду.

Цікаво, що інженери компанії Cymulate повідомили в Microsoft про проблему ще три місяці тому. Проте, розробник програмного забезпечення не визнав це вразливістю безпеки.

"Оскільки це конкретне ухилення можна також розглядати як вразливість, ми представили це Microsoft 3 місяці тому, перш ніж ми показали його на нашій платформі. Вони не визнали це недоліком", - говорить співзасновник і технічний директор Cymulate Авіхай Бен-Йосеф.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X