Sårbarhed ved udførelse af kode gennem indlejrede videoer på MS Word
Sikkerhedseksperter har opdaget en ny fejl i Microsoft Word, der gør det muligt for hackere at injicere en ondsindet kode i et orddokument. Fejlen blev opdaget af forskere ved Cymulere og det påvirker ældre versioner af Microsoft Word inklusive Word 2016.
Fejlen udnytter indstillingen Online Video i Word-dokumenter, som giver brugerne mulighed for at integrere onlinevideoer i Word. Desværre nægtede Microsoft at anerkende fejlen som en sårbarhed, hvorfor forskerne besluttede at blive offentlig med deres fund. Sårbarheden kan udnyttes ved først at tilføje en online video til Word-dokumentet og derefter udpakke dokumentet og erstatte den integrerede kode med en malware.
Cymulere forskere testede endda udnyttelsen internt, og de var i stand til at integrere en video i et orddokument, som derefter kørte ondsindet kode, når der blev klikket på dem.
Da Microsoft har nægtet at anerkende dette som en sårbarhed, forventer vi ikke, at virksomheden udruller en opdatering for at lappe fejlen. Dette efterlader mange brugere udsat for angrebet, og den bedste løsning på dette problem er at blokere Word-dokumenter med indlejrede videoer. Selvom dette er en god løsning, siger det sig selv, at man ikke skal åbne filer fra ukendte afsendere, især dem, der er downloadet fra fildelingsservices, der ikke kører ordentlige virusscanninger.
Mærker Microsoft
