هفتهی گذشته مایکروسافت یک مشاورهنامهی خارج از برنامه منتشر کرد تا آسیبپذیریهای Autodesk FBX را در Office، Office 365 و Paint 3D رفع کند.
چند اشکالی که در بستهی توسعهی نرمافزاری Autodesk FBX در اوایل ماه جاری رفع شد میتوانست منجر به اجرای کد و ایجاد شرایط منع سرویس شود.
ممکن است همهی برنامهها و خدماتی که از FBX-SDK نسخهی ۲۰۲۰٫۰ یا نسخههای قبلتر استفاده میکنند، تحت تأثیر آسیبپذیریهای سرریز بافر، type confusion، استفاده پس از آزادسازی، سرریز عدد صحیح، NULL pointer dereference و سرریز هیپ قرار گرفته باشند.
اشکال های رفعشده با شناسههای CVE-2020-7080 (اجرای کد)،CVE-2020-7081 (اجرای کد و منع سرویس)،CVE-2020-7082 (اجرای کد)،CVE-2020-7083 (منع سرویس)، CVE-2020-7084 (منع سرویس) و CVE-2020-7085 (اجرای کد) شناسایی میشوند.
بهگفتهی مایکروسافت، استفاده از کتابخانهی Autodesk FBX در برخی از محصولات آن باعث به وجود آمدن آسیبپذیریهای اجرای کد از راه دور در زمان پردازش محتوای دستکاریشدهی سه بعدی شده است.
مایکروسافت بیان میکند که مهاجمی که میتواند از این اشکال بهرهبرداری کند، میتواند به مجوزهای کاربری یک کاربر محلی دست یابد. برای هدف قرار دادن این آسیبپذیریها، مهاجم باید یک فایل دستکاریشده با محتوای سه بعدی را به کاربر ارسال کند و او را فریب دهد تا فایل را باز کند.
مایکروسافت در مشاورهنامهی خود نیز تأکید کرد که بهروزرسانیهای امنیتی با اصلاح روش مدیریت محتوای سه بعدی توسط نرمافزار مایکروسافت، این آسیبپذیریها را رفع میکنند. هنوز هیچ راهکاری برای مقابله با آنها شناسایی نشده است.
بهگفتهی یکی از مهندسان تحقیقاتی، مایکروسافت این مورد را بهعنوان یک آسیبپذیری اجرای کد از راه دور در نظر گرفته است؛ بااینحال توجه به این نکته ضروری است که این آسیبپذیری به یک کاربر نیاز دارد تا یک فایل مخرب را باز کند.
ممکن است این سوال مطرح شود که Office در برابر یک آسیبپذیری Autodesk آسیبپذیر است. به هیچ وجه روشهای امنیتی مایکروسافت ضعیف نیستند، اما آسیبپذیریهایی مانند آن نمونهی خوبی از نحوهی ترکیب ابزارها و کدهای گروههای دیگر است، به این معنا که میتوان آسیبپذیریهای آنها را در محصول خود گنجاند.
اگرچه این مشاورهنامهی خارج از برنامهی مایکروسافت هفتهی گذشته منتشر شد، اما انتظار میرود که وصلههای این نرمافزار آسیبپذیر در وصلهی روز سهشنبهی ماه مِه منتشر شود.
