انتشار توصیهنامه امنیتی مایکروسافت برای رفع نقص غیرمنتظره در OFFICE
مایکروسافت به تازگی یک توصیهنامه امنیتی جهت بهروزرسانی نرمافزارهای مایکروسافت که از کتابخانهی Autodesk FBX استفاده میکنند، منتشر ساخته است. FBX مخفف Filmbox و یک قالب اختصاصی متعلق به کتابخانهی Autodesk است که برای ذخیرهسازی داده های ضبط حرکت به همراه جریانهای صوتی و ویدیویی استفاده میشود. Autodesk که احتمالاً به دلیل نرمافزار طراحی AutoCAD مشهور است، دارای طیف وسیعی از محصولات برای رندرینگ ویدیو، ساخت بازی و غیره که شامل فرمت فایل FBX هستند، است. این توصیهنامه، اصلاحات مربوط به شش نقص امنیتی مختلف که با شناسههای پشت سر هم CVE-2020-7080 تا CVE-2020-7085 ردیابی میشوند را معرفی میکند. این آسیبپذیریها، به دلیل طیف وسیعی از خطاهای برنامهنویسی مختلف است که اغلب به کدی که اشیای دادهی پیچیده را مدیریت میکند، وارد میشود. این خطاها عبارتند از سرریز بافر، سردرگمی نوع، استفاده پس از آزادسازی، سرریز عددصحیح و اشارهگر مقدار هیچ. به نظر میرسد محصولات Microsoft Office 2019 و Office 365 ProPlus مایکروسافت، از فایلهای FBX پشتیبانی میکنند و کدی که آن فایلها را پردازش میکند از Autodesk میآید. بنابراین آخرین نسخههای Office شامل این شش آسیبپذیری هستند که پنج مورد از آنها به مهاجم اجازه اجرای کد راه دور را میدهد. به گفتهی مایکروسافت، اجزای 3D Viewer و Paint 3D از Windows 10 نیز تحتتأثیر این نقصها قرار گرفتهاند که این محصولات نیز بهروزرسانی شدهاند. یک نقص اجرا کد راهدور که زمانی وجود دارد که یک برنامهی آسیبپذیر، فایل مخربی را پردازش کند، اغلب بدین معنی است که بازکردن یا پیش نمایش آن فایل به راحتی میتواند به کلاهبرداران اجازه دهد بر روی رایانهی کاربر، بدافزار نصب کنند. از آنجایی که کاربر هشدارهای معمولی مانند “do you want to download?” یا “this file wants to run a program, are you sure?” را مشاهده نخواهند کرد، بنابراین بازکردن این فایل کاملاً بیضرر به نظر میرسد. به عبارت دیگر یک کلاهبردار میتواند یک فایل FBX (فایلی که برنامه نیست و قرار نیست برنامه باشد) به کاربر ایمیل کند که این امر ممکن است کاربر را در معرض خطری که مایکروسافت آن را click to run میخواند، قرار دهد. نقص click to run، به اندازهی یک نقص امنیتی که میتواند از راه دور، حتی زمانی که کسی وارد سیستم نشده است، مورد سوءاستفاده قرار گیرد، خطرناک نیست، زیرا لازم است حداقل کاربر وسوسه شود مورد مخرب را مشاهده کند. اما یک حملهی click to run از مثلاً یک فایل سند که حاوی ماکروهایی است که باید به عنوان گام دوم پس از بازکردن سند مورد احراز هویت قرار گیرند، بسیار خطرناکتر است. اگرچه ممکن است کاربران تصور کنند هیچگاه یک فایل FBX را باز نخواهند کرد، چرا که بیربط و بی اهمیت است، اما باید توجه داشته باشند که: • کلاهبرداران به ندرت یک رایانامهی فیشینگ را همزمان ارسال میکنند. حتی اگر کلاهبرداران، شرکت کاربر را مستقیماً هدف قرار نمیدهند، اما ممکن است پایگاه دادهی هرزنامهی آنها شامل چندین ورودی رایانامه برای هر دامنهی شرکتی موجود در لیست باشد. لازم نیست کلاهبرداران همه را فریب دهند؛ آنها میتوانند هر کسی را هدف قرار دهند و اگر شخصی را فریب دهند، برنده میشوند. • ویندوز به طور پیشفرض پسوندهای فایل را نشان نمیدهد. فایلی به نام something.text.fbx معمولاً به صورت something.text نمایش داده خواهد شد که به صورت فریبندهای ظاهر ایمنی دارد. بنا به توصیهنامهی مایکروسافت، هیچ راهحل یا فاکتور کاهشدهندهای برای این آسیبپذیریها شناسایی نشده است و لازم است هر چه سریعتر وصلهکردن صورت پذیرد. لازم است مشتریان Autodesk نیز محصولات متأثر Autodesk را برای بهروزرسانیهای لازم مورد بررسی قرار دهند. لیست Autodesk شامل نسخههای مختلف ابزارگان توسعهی نرمافزار FBX، Maya، Motion Builder، Mudbox، 3ds Max، Fusion، Revit Flame، Infraworks، Navisworks و Autodesk AutoCAD است.