Microsoft本周发布了带外咨询,以解决Office,Office 365和Paint 3D中的Autodesk FBX漏洞。
本月初,Autodesk FBX软件开发工具包(SDK)中解决的多个错误可能导致代码执行和拒绝服务条件。
使用FBX-SDK版本的所有应用程序和服务。Autodesk 解释说,2020.0或更早版本可能会受到“缓冲区溢出,类型混淆,释放后使用,整数溢出,NULL指针取消引用和堆溢出漏洞”的影响。
已解决的错误被跟踪为CVE-2020-7080(导致代码执行),CVE-2020-7081(导致代码执行或拒绝服务),CVE-2020-7082(代码执行),CVE-2020-7083(拒绝服务),CVE-2020-7084(拒绝服务)和CVE-2020-7085(代码执行)。
根据Microsoft的说法,在某些产品中使用Autodesk FBX库会导致处理特制3D内容时触发远程执行代码漏洞。
微软说,能够利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。为了锁定漏洞,攻击者需要将包含3D内容的特制文件发送给用户,并诱使他们打开文件。
这家技术巨头在一份通报中指出: “安全更新通过纠正Microsoft软件处理3D内容的方式来解决这些漏洞。”
尚未发现缓解因素或解决方法。
“微软将其标记为远程执行代码漏洞;然而,必须特别注意的是,此漏洞需要用户打开一个恶意文件,而不是远程执行。” Tenable研究工程师Ryan Seguin在一封电子邮件中表示。
“有些人可能会质疑Microsoft Office如何容易受到Autodesk漏洞的攻击。无论如何,这都不是微软方面的不良安全实践,但是像这样的漏洞是一个很好的例子,它说明了如何将另一个小组的工具和代码合并到您的产品中(在这种情况下,是Microsoft Office,Office 365 ProPlus)以及Paint 3D”,Seguin继续说道。
尽管本周发布了带外咨询,但易受攻击的软件的修补程序预计将在5月的“星期二修补程序”中发布。