Домой >> Новости >> Из-за логической ошибки в документах Microsoft Word встраивание видео ведет к исполнению кода

Из-за логической ошибки в документах Microsoft Word встраивание видео ведет к исполнению кода

Из-за логической ошибки в документах Microsoft Word встраивание видео ведет к исполнению кода

Исследователи Cymulate обнаружили проблему в Microsoft Office 2016 и выше, из-за которой злоумышленник может злоупотребить опцией Online Video, которая позволяет встроить видеоролик в документ.

Специалисты объясняют, что конфигурационный файл document.xml, который Word  использует для работы со встроенными видео, может содержать параметры embeddedHtml и iframe-код для видео с YouTube. Специалисты предупреждают, что пользователь не увидит каких-либо особенных предупреждений при открытии такого документа с видеороликом, и это весьма скверно. Дело в том, что атакующий может подменить iframe-код вредоносным HTML/JavaScript, который сработает в фоновом режиме. В итоге вместо ролика с YouTube будет открыт Internet Explorer Download Manager и произойдет выполнение кода.

Из-за логической ошибки в документах Microsoft Word встраивание видео ведет к исполнению кода

Эксперты Cymulate создали proof-of-concept атаки и встроили в документ исполняемый блоб base64. При срабатывании эксплоит использует метод msSaveOrOpenBlob, запускает загрузку через Internet Explorer Download Manager, а затем может запустить или сохранить полученный файл.

Информация о проблеме была передана специалистам Microsoft еще несколько месяцев назад, разработчики не считают данную находку уязвимостью и ответили, что все работает как должно.

Смотрите также

Оператор Bitfinex нанял нового поставщика офшорных услуг

Оператор гонконгской биткоин-биржи Bitfinex компания iFinex Inc. нанял нового поставщика офшорных услуг в лице юридической …

Добавить комментарий