微软发布 Autodesk FBX 漏洞带外安全公告,将于5月推出补丁
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
本周,微软发布一个带外安全公告,解决 Office、Office 365 和 Paint 3D 中的多个 Autodesk FBX 漏洞。
本月早些时候解决的Autodesk FBX 软件开发包(SDK) 中的多个漏洞可导致代码执行和拒绝服务条件。
Autodesk解释称,所有使用 FBX-SDK Ver.2020.0 或更早版本的应用程序和服务可遭“缓冲区溢出、类型混淆、释放后使用、整数溢出、空指针解引用和堆溢出漏洞”影响。
已解决的漏洞编号是CVE-2020-7080(可导致代码执行)、CVE-2020-7081(可导致代码执行或拒绝服务)、CVE-2020-7082(代码执行)、CVE-2020-7083(拒绝服务)、CVE-2020-7084(拒绝服务)和CVE-2020-7085(代码执行)。
微软指出,在某些产品中使用Autodesk FBX 库可导致远程代码执行漏洞,当处理特殊构造的3D 内容时可被触发。
微软指出,能够利用这些bug 的攻击者能够获取和当地用户权限相同的权限。攻击者需要向用户发送包含3D 内容的特殊构造的文件并诱骗他们打开文件才能利用这些漏洞。
微软在公告中指出,“这些安全更新通过更正微软软件处理3D 内容的方式修复了这些漏洞。”
目前尚不存在缓解因素或应变措施。
Tenable公司的研究工程师 Ryan Seguin 评论称,“微软将其标记为一个远程代码执行漏洞,然而,需要注意到该漏洞要求用户打开恶意文件,而这并非远程执行。”他表示,“有人可能会问到微软Office 如何易受 Autodesk 漏洞影响,实际上这并不说明微软的安全实践糟糕,这类漏洞很好地说明了集成其它组的工具和代码意味着同时将其漏洞也集成到了自己的产品中,在本例中是MS Office、Office365 ProPlus 和Paint 3D。”
尽管该带外安全公告在本周已发布,但补丁或将在5月补丁星期二发布。
推荐阅读
原文链接
https://www.securityweek.com/microsoft-out-band-advisory-addresses-autodesk-fbx-vulnerabilities
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~