Tags:
Node Thumbnail

นักวิจัยของบริษัท Cymulate บริษัทที่ให้บริการโซลูชันด้านความปลอดภัยได้โพสต์บล็อกเกี่ยวกับการค้นพบช่องโหว่บน Microsoft Word 2016 และเก่ากว่า ผ่านฟีเจอร์ Online Video ที่เปิดให้แฮกเกอร์สามารถรันสคริปต์ผ่านวิดิโอที่ฝังมาบน Word ได้

นักวิจัยระบุว่าช่องโหว่นี้เกิดจาก Word 2016 หรือเก่ากว่า ยอมรันโค้ดจาวาสคริปต์ใดๆ ที่ใส่ไว้ใน attribute embeddedHtml โดย attribute นี้มีไว้เพื่อเก็บค่า iframe จาก YouTube

นักวิจัยสาธิตการโจมตีด้วยการสร้างสตริง base64 ที่สั่งให้รัน Internet Explorere Download Manager ขึ้นมาได้สำเร็จ (ดูคลิปได้จากบล็อกของ Cymulate)

ทางนักวิจัยของ Cymulate ได้แจ้งช่องโหว่นี้ไปทางไมโครซอฟท์แล้วกว่า 3 เดือน ทว่าบริษัทปฏิเสธว่านี่ไม่ใช่ช่องโหว่ด้านความปลอดภัย จึงตัดสินใจโพสต์บล็อกเกี่ยวกับเรื่องนี้และแนะนำให้องค์กรบล็อคเอกสาร Word ที่มีค่า embeddedHtml หรือเอกสารที่ฝังวิดีโอออนไลน์เอาไว้

ที่มา - Cymulate Blog via The Hacker News

No Description

No Description

Get latest news from Blognone

Comments

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 5 November 2018 - 22:57 #1080491
KuLiKo's picture

ขอบคุณ Office 365 ที่ทำให้ไม่ต้องกังวลอะไรแบบนี้

By: syootakarn
iPhoneWindows PhoneAndroidBlackberry
on 6 November 2018 - 08:44 #1080514 Reply to:1080491
syootakarn's picture

เป็นการบังคับให้ไปใช้ Office 365 กลายๆ

By: huajaiplateen on 6 November 2018 - 12:37 #1080604 Reply to:1080514
huajaiplateen's picture

ใช้ของมหาลัย ฟรีีีีี

By: schanon
Android
on 6 November 2018 - 13:17 #1080614
schanon's picture

Mac รอดสินะ อิ ๆ