Como parte do Patch Tuesday de janeiro, Os engenheiros da Microsoft corrigiram uma vulnerabilidade crítica no Office que poderia permitir que invasores executassem remotamente códigos maliciosos em sistemas vulneráveis.
A vulnerabilidade RCE identificada como CVE-2022-21840 pode ser explorado em dispositivos alvo até mesmo com os privilégios mais baixos e em ataques simples que exigem interação do usuário. Basicamente, o usuário deve abrir um documento especial do Office recebido do invasor por correio ou mensageiro. Felizmente, é relatado que o painel de visualização do Outlook não pode ser usado como vetor de ataque.
Infelizmente, o renomado especialista em segurança cibernética e analista CERT/CC Will Dormann acrescenta que o bug pode ser explorado através do painel de visualização do Windows Explorer. Aquilo é, a exploração do problema ainda é possível sem a interação direta do usuário e a abertura de um arquivo malicioso do Office. Em vez de, basta selecionar esse arquivo na janela do explorer com o painel de visualização ativado.
O sal desta situação é que a Microsoft já preparou patches para o Microsoft 365 para aplicativos empresariais e versões Windows do Microsoft Office, mas ainda está trabalhando em correções que eliminem a vulnerabilidade no macOS. Por isso, Usuários de Mac que usam o Microsoft Office LTSC para Mac 2021 e Microsoft Office 2019 para Mac terá que esperar – ainda não há soluções para eles, e as datas exatas de lançamento não foram informadas.
Computador bipando notas que em novembro 2021, Microsoft também não foi capaz fornecer prontamente aos usuários da Apple patches para a vulnerabilidade de dia 0 explorada ativamente no Excel. Esse bug permitiu que invasores não autenticados contornassem os mecanismos de segurança e lançassem um ataque que não exigia interação do usuário.
Deixe-me lembrá-lo que recentemente também escrevemos isso Vulnerabilidade no macOS leva ao vazamento de dados, assim como isso Patches da Microsoft 117 vulnerabilidades, Incluindo 9 vulnerabilidades de dia zero.
