هشدار مركز ماهر؛
صدمه پذیری ویدئو آنلاین مایكروسافت كشف شد
آنی تل: محققان صدمه پذیری وصله نشده ای را در خصوصیت Online Video مایكروسافت كشف كرده اند كه به مهاجمان، امكان ارسال فایل های مخرب را به سیستم قربانی می دهد.
به گزارش آنی تل به نقل از مركز ماهر، این اشكال هنگامی رخ می دهد كه كاربر، یك ویدئو را با استفاده از خصوصیت «Video Online» در یك سند ورد (Word) تعبیه كند. این صدمه پذیری در فایل «.xml» وجود دارد كه در آن، پارامتر «embeddedHtml» به یك كد iframe در یوتیوب اشاره دارد.هكرها می توانند كد iframe فعلی یوتیوب را با HTML/JavaScript مخرب كه توسط اینترنت اكسپلورر عرضه می شود، جایگزین كنند.به گفته محققان، تغییر پسورد ویدئوی یوتیوب جاسازی شده در یك سند Word، برای مهاجمان بسیار آسان است. آن ها فقط باید فایل «document.xml» را ویرایش كنند و لینك ویدئو را با بار مخرب جایگزین كنند.محققان گمان می كنند كه مهاجمان امكان دارد از این تكنیك برای حملات فیشینگ استفاده كنند، چونكه سند، ویدئوی جاسازی شده با لینك به YouTube را نشان می دهد، در حالیكه امكان دارد یك كد مخفی HTML/JavaScript در پس زمینه اجرا شود و منجر به اجرای كد بیشتر شود.هكرها جهت استفاده از این حمله، یك لینك ویدئو را داخل سند Word جاسازی كرده و آنرا با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس كاربران را به بازكردن فایل Word ترغیب می كنند.با این ترفند، كاربران هدف امكان دارد هیچ چیز بدبینانه ای را مشاهده نكنند، چونكه بازكردن سند دارای ویدئوی جاسازی شده، هیچ اخطاری تولید نمی كند.این اشكال روی مایكروسافت آفیس ۲۰۱۶ و تمام نسخه های قبلی دارای خصوصیت ویدئو آنلاین (Video Online) تأثیر می گذارد.محققان سه ماه پیش این صدمه پذیری را به مایكروسافت گزارش كردند اما به نظر می آید مایكروسافت قصد ندارد این مشكل را حل كند و اعتقاد دارد نرم افزار Word، تفسیر HTML را به درستی انجام می دهد.به مدیران شركت ها سفارش می گردد سندهای Word دارای برچسب «embeddedHtml» در فایل «document.xml» اسناد Word را مسدود كنند و پیوست های ایمیل ناخواسته را از منابع ناشناخته یا مشكوك باز نكنند.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان آنی تل در مورد این مطلب