פגיעות ברכיב בתוכנת Office עלולה לאפשר הרצת קוד מרחוק
מאת:
מערכת Telecom News 16.11.17, 20:14
הפגיעות עלולה לאפשר לתוקף הרצת קוד מרחוק, בהרשאות המשתמש בעמדה, ללא מעורבותו. מה עושים?
דווח היום, שבהמשך
לפרסום אתמול לגבי עדכוני האבטחה, שהוציאה חברת מיקרוסופט לנובמבר 2017
, ראוי להפנות תשומת לב מיוחדת לפגיעות:
2017-11882-CVE, שמקורה ברכיב בשם
,Editor Equation שקיים בכל מוצרי
Office מזה 17 שנה
.
פתיחת צרופה הכוללת שימוש בפגיעות זו, עלולה לאפשר לתוקף הרצת קוד מרחוק, בהרשאות המשתמש בעמדה, ללא מעורבותו
.
הרכיב הפגיע, שמצוי בקובץ בשם
EXE.EQNEDT32 , מאפשר יצירת משוואות מתמטיות במוצר
.Office
המוצר היה רלוונטי לגרסאות
Office 2000 ו-2003. החל מגרסה 2007 הטכנולוגיה להצגה ולעריכה של משוואות השתנתה, אך הקובץ עדיין
נכלל בתוכנת
Office למטרת תאימות לאחור עם קבצים ישנים.
בשל היות המוצר ישן מאוד, אינו כולל הגדרות להגנות מפני מניפולציות של הזיכרון כגון
ASLR ,DEP וכד
'. המוצר פועל עצמאית, במרחב כתובות נפרד, ולכן הגנות, שתופעלנה על תוכנת
Office עצמה, לא יחולו עליו.
במוצר נמצאה פגיעות מסוג
,Stack Based Overflow שמאפשרת לתוקף הרצת קוד מרחוק, ללא מעורבות המשתמש
.
דרכי התמודדות:
מומלץ לבחון העדכון הנ"ל במערכות ולהתקינו בהקדם האפשרי.
מומלץ לשקול היטב טרם פתיחת צרופות, שהגיעו משולח לא מוכר, או אף משולח מוכר אך במועד בלתי צפוי.
מומלץ לצפות בקבצי
Office , שמקורם ברשת עם
Macros מנוטרלים ובאמצעות
.Protected View
יש לחשוד בקבצים המנסים לשכנע את המשתמש לוותר על הגנות אלו
.
ניתן לנטרל השימוש ברכיב
Editor Equation באמצעות הגדרת
Bit Kill ב-
Registryע"י הרצת הפקודה הבאה
:
במקרה של שימוש בתוכנת
32bit Office על מערכת הפעלה
,64bit הפקודה המתאימה היא
:
