在2020年4月补丁星期二之后的一周,微软又“增发”了其Office套件的安全更新,以修复几个远程代码执行漏洞。
值得注意的是,微软Windows操作系统中用于创建3D模型的免费应用程序Paint 3D也发布了安全更新,因为Paint 3D和Office“共享”了存在漏洞的Autodesk FBX库。
关于漏洞
Autodesk是流行的AutoCAD软件的开发公司,产品被建筑师、工程师、数字媒体创作者、制造商等广泛使用,近日Autodesk一口气修复了FBX软件开发人员工具包(SDK)的六个漏洞(CVE-2020-7080至CVE-2020-7085)。
如果用户受骗打开特制的恶意FBX文件,攻击者可以创建DoS攻击条件或使应用程序在底层系统上执行任意代码。
由于Autodesk FBX库已集成到MS Office应用程序和Paint 3D应用程序中,因此用它们处理特制的3D内容可能会导致远程执行代码。
成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。“那些权限较低的用户账户比管理用户权限账户受影响小”微软解释。
如何缓解?
要利用这些漏洞,攻击者必须将包含3D内容的特制文件发送给用户,并说服他们打开它。(仅通过预览窗格查看它不足以触发漏洞利用。)
由于漏洞利用需要用户交互,因此该漏洞的危险性还没有达到“critical”的级别。但不幸的是,诱骗用户打开随机文件是攻击者的“基本操作”。
该漏洞目前没有缓解或变通办法,因此强烈建议用户和管理员尽快进行系统更新,尤其是对于那些需要经常处理FBX文件的用户。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。