Microsoft Office 2016和前部都受到0天缺陷的影响,该缺陷使独特的人可以通过简单的文本文件感染您的PC。 MS Word Faillus将视频集成到文档中以及如何构建.docx文件。结果是黑客可以通过真实的文本文件导致执行任何任意代码。 Microsoft指定它不会在这些自动版本上纠正此缺陷,这使其变得更加强大...
来自网络安全专家Cymulate的公司专家的研究人员刚刚揭示了一个0天的缺陷,该缺陷触及了整合到Microsoft Office 2016及以前的所有版本中。这个缺陷,相当简单地利用,使您可以将.docx文件转换为感染向量。它利用这些自动版本中的单词功能可以使您可以从YouTube集成流视频。在集成过程中,世界生成一个嵌入式代码,该代码在用户单击视频时激活。
研究人员表明的是,一旦保存了文件,很容易修改嵌入代码,甚至可以用任何HTML / JavaScript代码替换它(该代码由Internet Explorer执行,因此必须与此浏览器兼容) 。 .docx文件确实被设计为.zip档案,并包含多个元素。其中之一是documents.xml包含清晰的嵌入代码 - .docx文件接受而不会伤害此.xml文件已修改。突然,可以在单击文档中单击视频的预览时替换执行的代码。
海盗然后可以隐藏有效载荷在Word文件中,并鼓励受害者单击视频的概述,然后有可能控制其计算机或渗透数据。从理论上讲,甚至可以执行任意代码,同时确保视频仍在启动,以便文件的接收者没有意识到任何东西。此外,我们在这里谈论一个真实的.docx文件,而不是具有错误扩展的可执行文件,这使得其检测特别困难。特别是因为最初不必将真正调皮的代码包含在.docx文件中即可欺骗防病毒软件。
三个月前,Cymulate警告了Microsoft。尽管如此,该公司拒绝将其视为安全缺陷。因此,发布者将不会填补这个缺陷,并确认其软件“按预期正确解释HTML”。事实上,只有一种真正防止这种缺陷的方法 - 切勿在.docx文件中单击视频。系统管理员还可以阻止.docx在其document.xml文件中包含embeddedhtml单词。与往常一样,也建议不要从未知的文件中打开文件。
问我们的最后一个!
制造商Corsair的首席执行官说,GTA 6版本定于2026年初,仅在游戏机在游戏机上发布几个月后。 Take-Two Interactive和Rockstar Games最近否认了谣言……
电子游戏
