文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

微软office组件MSGraph多安全漏洞

2024-12-03 03:56

关注

CheckPoint研究人员在对微软office组件MSGraph进行模糊测试时发现了多个安全漏洞。

微软Office是几乎每台计算机上都有的软件,并融入在了outlook、office在线等微软和Windows生态中。Checkpoint研究人员在对office组件MSGraph COM进行模糊测试时发现了多个影响整个生态安全的安全漏洞。

MSGraph COM组件

MSGraph COM组件(MSGraph.Chart.8, GRAPH.EXE)是一个非常古老的office组件,从Office 2003版本来说就存在了。该组件嵌入在微软office产品中,用来展示图表。但该组件并没有得到安全人员的关注。

从供给的角度来看,MSGraph与Microsoft Equation Editor 3.0非常相似。但与Equation Editor不同的是,MSGraph会在每次office补丁中更新,并接收到最新的补丁,这使得成功利用变得非常困难。

图1: Excel文档中嵌入的MSGraph编辑器

安全漏洞

研究人员对MSGraph进行模糊测试发现了其中4个安全漏洞,分别是:

代码相似性

研究人员在MSGraph中发现了有漏洞的函数后,研究人员通过代码相似性检查发现该有漏洞的函数广泛应用于office产品中,比如Excel (EXCEL.EXE)、office在线服务器(EXCELCNV.EXE)和Excel OSX版本。研究人员在这些产品中都复现了这些漏洞。

如下图所示,漏洞利用后会导致奔溃。


图2: CVE-2021-31174漏洞 OfficeOnline复现


图3: CVE-2021-31174漏洞 Excel复现


图4: CVE-2021-31174漏洞 MSGraph复现

总结

虽然研究人员只测试一个office组件,但却发现了多个影响office产品生态的安全漏洞。研究结果表明文件可以以不同的方式嵌入来在不同的平台上利用不同office产品的漏洞。

本文翻译自:https://research.checkpoint.com/2021/fuzzing-the-office-ecosystem/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯