В коде Microsoft Word нашли опасную уязвимость

Пользователю не покажут предупреждение о безопасности, когда откроется вредный документ.

У коді Microsoft Word знайшли небезпечну уразливість

Эксперты обнаружили новый способ заражения компьютеров пользователей через видео, встроенные в файлы Microsoft Word.

В самой компании Microsoft пока не признали уязвимость существенной, сообщает Security Week.

По словам исследователей безопасности, проблема, которая, вероятно, влияет на всех пользователей Office 2016 и старше, может быть использована без специальной настройки. Кроме того, пользователю не покажут предупреждение о безопасности, когда откроется вредный документ.

Эта уязвимость создается, когда пользователь использует функцию «онлайн-видео» для встраивания видео в свой документ. Ошибка находится в связанном файле document.xml, который содержит параметр embeddedHtml (под WebVideoPr), который ссылается на код iframe YouTube.

Проблема, по мнению исследователей, заключается в том, что злоумышленник может заменить код iframe YouTube на вредоносный код HTML/JavaScript, который будет работать в фоновом режиме. Вместо того, чтобы связываться с фактическим видео на YouTube, будет открыт Internet Download Download Manager с исполняемым файлом встроенного кода.

Интересно, что инженеры компании Cymulate сообщили в Microsoft о проблеме еще три месяца назад. Однако, разработчик программного обеспечения не признал это уязвимостью безопасности.

«Поскольку это конкретное уклонение можно также рассматривать как уязвимость, мы представили это Microsoft 3 месяца назад, прежде чем мы показали его на нашей платформе. Они не признали это недостатком», — говорит сооснователь и технический директор Cymulate Авіхай Бен-Йосеф.