Microsoft Office ได้รับผลกระทบจากช่องโหว่ของ feature “online video” ใน Word ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายได้
นักวิจัยด้านความปลอดภัย Cymulate กล่าวว่า ปัญหาดังกล่าวส่งผลกระทบต่อผู้ใช้งาน Microsoft Office 2016 และก่อนหน้า เป็นปัญหาเมื่อมีการแนบ online video บนเอกสาร ปัญหาเกี่ยวข้องกับไฟล์ document.xml ที่มีพารามเตอร์ embeddedHtml ซึ่งอ้างอิงถึง iframe ของ youtube ผู้โจมตีสามารถแทนที่โค้ด iframe นี้ด้วยโค้ด HTML / JavaScript ที่เป็นอันตราย เพื่อไปเปิด Internet Explorer Download Manager ที่มีการฝังไฟล์อันตรายไว้
ปัญหานี้ถูกรายงานไปยัง Microsoft แล้วเมื่อ 3 เดือนที่แล้ว แต่ Microsoft ไม่ยอมรับว่าปัญหาดังกล่าวเป็นช่องโหว่ด้านความปลอดภัย
ที่มา : securityweek
You must be logged in to post a comment.