פירצה ב-MS WORD עלולה לאפשר להאקרים להדביק את המחשב שלכם

חוקרי סייבר חשפו פרצה ב-Microsoft Office 2016 ובגרסאות ישנות יותר המאפשרת לתוקפים להחדיר קוד זדוני לתוך מסמך, וכן להערים על משתמשים ולגרום להם להריץ תוכנה זדונית במחשביהם.

הבאג מנצל את אפשרות ה-"Online Video" (וידאו אונליין) במסמכי וורד, פיצ'ר המאפשר למשתמשים להכניס סרטון וידאו מרשת האינטרנט עם לינק ל-YouTube.

החוקרים בחרו לפרסם את ממצאיהם לציבור הרחב שלושה חודשים לאחר שמייקרוסופט סירבה להכיר בבעיה כפרצת אבטחה.

איך פועלת הפירצה?

תוקף פוטנציאלי יכול לנצל את הבאג על ידי החלפה של סרטון YouTube בקוד זדוני אשר יופעל על ידי מנהל ההורדות של דפדפן האינטרנט.

הסבר למתקדמים:

לפי החוקרים, ניתן לערוך את קובץ התצורה "document.xml" (קובץ XML אשר משמש כברירת המחדל ב-Word) ולהחליף את קוד הווידאו הנוכחי Iframe עם כל קוד מסוג HTML או JavaScript אשר ירוץ ברקע.

ראו סרטון הדגמה

איך ניתן בכל זאת להיזהר?

הקפידו לעדכן גרסה – עדכוני תוכנה מכילים לרוב עדכונים קריטיים לפרצות אבטחה. במידה ולא נקפיד לעדכן, אנו חושפים את עצמנו לסכנות מיותרות.

למידע נוסף ראו מקור:

https://thehackernews.com/2018/10/microsoft-office-online-video.html