近日Cymulate的网络安全人员在Microsoft Office 2016以及之前的办公软件中发现了一个尚未修复的漏洞,黑客可以利用该漏洞在办公文件中注入恶意代码或是诱使用户点击运行恶意软件。
该漏洞利用的是字处理软件Word中的插入“在线视频”功能,该功能允许用户在文件中插入在线视频链接。当用户在文档中添加在线视频链接后,该功能会自动生成HTML嵌入脚本,其他用户只需点击文本中的视频缩略图,便会自动触发该脚本。研究人员向微软公司汇报后,该公司却认为这不是一个安全漏洞。
运行机制
新版的Word文档格式.docx其实可以看作是个压缩包,其中包括了媒体和其他配置文件,可以单独对这些内容进行编辑。
研究人员发现,其中的“document.xml”配置文件是Word文档默认的XML文件,其中还包括了嵌入式视频框架脚本,而这些脚本可以可以用目前其他的iFrame脚本或javascript脚本来代替。这就意味着黑客可以使用其他恶意代码来代替Word文档中的嵌入式视频下载脚本,方法很简单,只需在.xml文件中,在WebVideoPr标签下查找embeddedHtml参数,其中就包含有在线视频框架代码,将这些代码替换后保存.xml文件,新的docx文档中就含有新的视频框架文件,而这些修改的代码不会在文档打开时受到安全警告。
研究人员为了验证该漏洞,特意制作了一份带有嵌入式在线视频链接的docx文档,当用户点击视频缩略图后,会弹出加载的嵌入式播放器,整个过程没有任何安全警告。
以上所述就是小编给大家介绍的《微软字处理软件Word曝出新漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- iOS底层原理:Runtime研究,玩出新花样
- 微软为吸引用户使用 Edge 浏览器又祭出新“方法”
- 360品牌年轻化又出新招,这一次和KFC推出黑客主题餐厅
- 勒索病毒与时俱进玩出新花样,黑色产业链恐更难斩断
- 用AI对抗AI 阿里安全图灵实验室开发出新一代智能验证码
- 单核A7玩转人脸识别,恩智浦“跨界处理器”又玩出新花样!
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
数据驱动设计
[美]罗谢尔·肯(RochelleKing)、[美]伊丽莎白F.邱吉尔(Elizabeth F Churchill)、Caitlin Tan / 傅婕 / 机械工业出版社 / 2018-8 / 69.00元
本书旨在帮你了解数据引导设计的基本原则,了解数据与设计流程整合的价值,避免常见的陷阱与误区。本书重点关注定量实验与A/B测试,因为我们发现,数据分析与设计实践在此鲜有交集,但相对的潜在价值与机会缺大。本书提供了一些关于在组织中开展数据实践的观点。通过阅读这本书,你将转变你的团队的工作方式,从数据中获得大收益。后希望你可以在衡量指标的选择、佳展示方式与展示时机、测试以及设计意图增强方面,自信地表达自......一起来看看 《数据驱动设计》 这本书的介绍吧!