Una settimana dopo la patch di aprile 2020, Microsoft ha rilasciato aggiornamenti di sicurezza fuori banda per la sua suite Office, per correggere una manciata di vulnerabilità che gli aggressori potrebbero sfruttare per ottenere l’esecuzione di codice in modalità remota.

Allo stesso tempo, è stato rilasciato anche un aggiornamento di sicurezza per Paint 3D, l’app gratuita dell’azienda per la creazione di modelli 3D, perché la fonte delle vulnerabilità fisse è qualcosa che Office e Paint 3D hanno in comune: la libreria FBX di Autodesk.Informazioni sulle vulnerabilità

Autodesk – la società dietro il famoso software AutoCAD ma anche una varietà di altre app specializzate utilizzate da architetti, ingegneri, creatori di supporti digitali, produttori, ecc. – ha risolto sei vulnerabilità (da CVE-2020-7080 a CVE-2020-7085) nella sua FBX Software Developer Kit (SDK).

Tutto può essere attivato se un utente viene indotto ad aprire un file FBX dannoso appositamente predisposto e può creare una condizione DoS o far eseguire all’applicazione un codice arbitrario sul sistema sottostante.

Poiché la libreria Autodesk FBX è integrata nelle app MS Office e nell’app Paint 3D, l’elaborazione di contenuti 3D appositamente predisposti può portare all’esecuzione di codice in modalità remota.

“Un utente malintenzionato che ha sfruttato con successo queste vulnerabilità potrebbe ottenere gli stessi diritti dell’utente locale. Gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero avere un impatto minore rispetto agli utenti che operano con diritti amministrativi utente “, ha spiegato Microsoft.Cosa fare?

Per sfruttare le vulnerabilità, un utente malintenzionato deve inviare un file appositamente predisposto contenente contenuto 3D a un utente e convincerlo ad aprirlo. (Basta visualizzarlo attraverso il riquadro di anteprima non è sufficiente per attivare lo sfruttamento.)

Il fatto che lo sfruttamento richieda l’interazione dell’utente rende le vulnerabilità importanti ma non critiche. Tuttavia, ingannare gli utenti nell’apertura di file casuali è, sfortunatamente, qualcosa che gli aggressori sanno fare bene.

Non ci sono fattori attenuanti o soluzioni alternative per i difetti, quindi gli utenti e gli amministratori sono invitati a implementare gli aggiornamenti forniti, soprattutto se si occupano spesso di file FBX.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Aggiorna MS Office, Paint 3D per collegare le vulnerabilità RCE Leave a comment

WhiteFox Design

Lascia un commento

Anycubic Photon Mono

Anycubic Photon Mono M5s Pro

Anycubic Photon S – Stampante 3D DLP – Bianco

Artillery® Hornet – Stampante 3D 220220250mm

BCN3D Epsilon W27

Creality CR-10 Max 450450470 mm

Creality Ender-3 – 220220250 mm

Creality K1C

Creality Space π Essiccatore di filamenti

CreatBot D600

CreatBot DX Plus – Estrusore triplo 1,75 mm

CreatBot DX Plus 1,75 mm – Doppio estrusore