Експерти виявили новий спосіб зараження комп’ютерів користувачів через відео, вбудовані у файли Microsoft Word. Про це пише Новое время з посиланням на Security Week.
У самій компанії Microsoft поки не визнали вразливість суттєвою.
За словами дослідників безпеки, проблема, яка, ймовірно, впливає на всіх користувачів Office 2016 і старше, може бути використана без спеціального налаштування. Крім того, користувачеві не покажуть попередження про безпеку, коли відкриється шкідливий документ.
Ця вразливість створюється, коли користувач використовує функцію “онлайн-відео” для вбудовування відео в свій документ. Помилка знаходиться у зв’язаному файлі document.xml, який містить параметр embeddedHtml (під WebVideoPr), який посилається на код iframe YouTube.
Проблема, на думку дослідників, полягає в тому, що зловмисник може замінити код iframe YouTube на шкідливий код HTML/JavaScript, який буде працювати у фоновому режимі. Замість того, щоб зв’язуватися з фактичним відео на YouTube, буде відкритий Internet Explorer Download Manager з виконуваним файлом вбудованого коду.
Цікаво, що інженери компанії Cymulate повідомили в Microsoft про проблему ще три місяці тому. Проте, розробник програмного забезпечення не визнав це вразливістю безпеки.
“Оскільки це конкретне ухилення можна також розглядати як вразливість, ми представили це Microsoft 3 місяці тому, перш ніж ми показали його на нашій платформі. Вони не визнали це недоліком”, – говорить співзасновник і технічний директор Cymulate Авіхай Бен-Йосеф.
