Microsoft исправит уязвимость в Office, уходящую корнями в устаревший код

Четыре уязвимости в Microsoft Office, включая Excel и Office online, потенциально могут быть проэксплуатированы злоумышленниками для доставки вредоносного кода через документы Word и Excel.

«Уходящие корнями в устаревший код уязвимости могут обеспечить атакующему возможность выполнения кода на атакуемой системе через вредоносные документы Office, таких как Word, Excel и Outlook», - сообщили исследователи ИБ-компании Check Point.

Три из четырех упомянутых уязвимостей ( CVE-2021-31174 , CVE-2021-31178 и CVE-2021-31179 ) были исправлены компанией Microsoft в прошлом месяце в рамках «вторника исправлений», однако четвертый патч для уязвимости использования памяти после высвобождения (CVE-2021-31939) будет выпущен сегодня, 8 июня.

В предполагаемом сценарии атаки четвертая уязвимость может быть проэксплуатирована с помощью одного лишь открытия вредоносного файла Excel (.XLS), доставленного через ссылку для загрузки или электронную почту.

Уязвимости существуют из-за ошибок синтаксического анализа, допущенных в устаревшем коде файловых форматов Excel 95. Проблемы были обнаружены в процессе фаззинга MSGraph («MSGraph.Chart.8»), сравнительно мало изученном компоненте Microsoft Office, равноценном редактору формул Equation Editor с точки зрения поверхности атаки. Редактор формул (в современных версиях Word данная функция отсутствует) входит в арсенал нескольких связанных между собой злоумышленников как минимум с конца 2018 года.

«Поскольку весь пакет Office имеет возможность встраивать объекты Excel, это расширяет вектор атаки, позволяя осуществить атаку практически на любое программное обеспечение Office, включая Word, Outlook и другие», - пояснили исследователи.

В настоящее время технические подробности об уязвимости CVE-2021-31939 весьма ограничены. Вероятно, это связано с тем, чтобы позволить большинству пользователей установить исправления и предотвратить создание вредоносных эксплоитов.