微软字处理软件Word曝出新漏洞

栏目: 编程语言 · XML · 发布时间: 6年前

微软字处理软件Word曝出新漏洞

近日Cymulate的网络安全人员在Microsoft Office 2016以及之前的办公软件中发现了一个尚未修复的漏洞,黑客可以利用该漏洞在办公文件中注入恶意代码或是诱使用户点击运行恶意软件。

该漏洞利用的是字处理软件Word中的插入“在线视频”功能,该功能允许用户在文件中插入在线视频链接。当用户在文档中添加在线视频链接后,该功能会自动生成HTML嵌入脚本,其他用户只需点击文本中的视频缩略图,便会自动触发该脚本。研究人员向微软公司汇报后,该公司却认为这不是一个安全漏洞。

运行机制

新版的Word文档格式.docx其实可以看作是个压缩包,其中包括了媒体和其他配置文件,可以单独对这些内容进行编辑。

微软字处理软件Word曝出新漏洞

研究人员发现,其中的“document.xml”配置文件是Word文档默认的XML文件,其中还包括了嵌入式视频框架脚本,而这些脚本可以可以用目前其他的iFrame脚本或javascript脚本来代替。这就意味着黑客可以使用其他恶意代码来代替Word文档中的嵌入式视频下载脚本,方法很简单,只需在.xml文件中,在WebVideoPr标签下查找embeddedHtml参数,其中就包含有在线视频框架代码,将这些代码替换后保存.xml文件,新的docx文档中就含有新的视频框架文件,而这些修改的代码不会在文档打开时受到安全警告。

研究人员为了验证该漏洞,特意制作了一份带有嵌入式在线视频链接的docx文档,当用户点击视频缩略图后,会弹出加载的嵌入式播放器,整个过程没有任何安全警告。

微软字处理软件Word曝出新漏洞


以上所述就是小编给大家介绍的《微软字处理软件Word曝出新漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

引爆点

引爆点

【加】马尔科姆•格拉德威尔(Malcolm Gladwell) / 钱清、覃爱冬 / 中信出版社 / 2014-4 / 36.00元

《引爆点》是《纽约客》怪才格拉德威尔的一部才华横溢之作。他以社会上突如其来的流行潮为切入点,从全新角度探索了控制科学和营销模式。他认为,思想、行为、信息及产品常会像传染病暴发一样迅速传播。正如一个病人就能引起全城流感;几位涂鸦爱好者能在地铁掀起犯罪浪潮;一位满意而归的顾客还能让新开张的餐馆座无虚席;发起小规模流行的团队能引发大规模流行风暴。这些现象均属“社会流行潮”,它达到临界水平并爆发的那一刻,......一起来看看 《引爆点》 这本书的介绍吧!

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具