在2020年4月補丁星期二之後的一週,微軟又“增發”了其Office套件的安全更新,以修復幾個遠程代碼執行漏洞。
值得注意的是,微軟Windows操作系統中用於創建3D模型的免費應用程序Paint 3D也發佈了安全更新,因為Paint 3D和Office“共享”了存在漏洞的Autodesk FBX庫。
Autodesk是流行的AutoCAD軟件的開發公司,產品被建築師,工程師,數字媒體創作者,製造商等廣泛使用,近日Autodesk一口氣修復了FBX軟件開發人員工具包(SDK)的六個漏洞(CVE-2020-7080至CVE-2020-7085)。
如果用戶受騙打開特製的惡意FBX文件,攻擊者可以創建DoS攻擊條件或使應用程序在底層系統上執行任意代碼。
由於Autodesk FBX庫已集成到MS Office應用程序和Paint 3D應用程序中,因此用它們處理特製的3D內容可能會導致遠程執行代碼。
成功利用這些漏洞的攻擊者可以獲得與本地用戶相同的用戶權限。“那些權限較低的用戶帳戶比以管理用戶權限受影響小,”微軟解釋。
要利用這些漏洞,攻擊者必須將包含3D內容的特製文件發送給用戶,並說服他們打開它。(僅通過預覽窗格查看它不足以觸發漏洞利用。)
由於漏洞利用需要用戶交互,因此該漏洞的危險性還沒有達到“critical“的級別。但不幸的是,誘騙用戶打開隨機文件是攻擊者的“基本操作“。
該漏洞目前沒有緩解或變通辦法,因此強烈建議用戶和管理員儘快進行系統更新,尤其是對於哪些需要經常處理FBX文件的用戶。
分享到:
閱讀更多 安全牛 的文章
