LiteNet.Ru - Актуально о ПК и ПО. 2006-2019.
СТАТЬИ | НОВОСТИ | ПРОГРАММЫ | ОБРАТНАЯ СВЯЗЬ | КАРТА САЙТА
Сейчас на сайте: 7 пользователей онлайн
Обновления
Материал На все смартфоны россиян обязали устанавливать 16 отечественных приложений [23.11.20]
Материал Kaspersky Virus Removal Tool 24.11.2020 [23.11.20]
Материал Dr.Web CureIt! 24.11.2020 [23.11.20]
Материал FileZilla 3.51.0 [23.11.20]
Материал Free Video Editor 1.4.57.311 [23.11.20]
Материал Freemake Video Converter 4.1.11.109 [23.11.20]
Материал VSDC Free Screen Recorder 1.3.2.385 [23.11.20]
Материал RouterPassView 1.9 [23.11.20]
Материал Google Chrome стал запускаться на 25% быстрее [22.11.20]
Материал Google Chrome 87.0.4280.66 [22.11.20]
Материал Avast Free Antivirus 20.9.5758 [21.11.20]
Материал Wireless Network Watcher 2.22 [21.11.20]
Комментарии Самый лучший брауз... [17.11.20]
Комментарии dynabook Satellite... [29.03.19]
Комментарии СПАСИБО!!! Получил... [04.03.19]
Комментарии Уважаемый Професси... [11.01.19]
Комментарии спасибо... [14.12.18]
Комментарии Спасибо, не заняло... [05.12.18]
Комментарии Toshiba satelit a2... [25.11.18]
Комментарии Вы шутите?... [23.11.18]
Комментарии Отличный продукт. ... [18.11.18]
Комментарии На второй вкладке ... [10.09.18]
Комментарии Помогло трёхсекунд... [04.07.18]
Комментарии Toshiba 440CDT Пр... [04.07.18]

RSS

Последние добавленные статьи

Найден способ скрытных атак через файлы Microsoft Word
30.10.2018

Логотип Microsoft WordЭксперты компании Cymulate обнаружили способ встроить вредоносный JavaScript-код в документ Microsoft Word.

Угроза связана с легитимной функцией, позволяющей добавлять в документы онлайн-видео. Уязвимость можно эксплуатировать без предварительной подготовки и при работающих защитных системах.

Как объяснили специалисты, зараженный файл *.docx фактически представляет собой архив — если поменять расширение на *.zip, документ можно распаковать. После этого преступник сможет менять содержимое, в частности, редактировать параметры, связанные с загрузкой медиа из Интернета.

Для проведения атаки потребуется создать Word-документ и встроить в него любое онлайн-видео через верхнее меню "Вставить" (Insert). В последних версиях Microsoft Office разработчики предусмотрели специальную опцию для добавления медиа из Интернета.

Сохраненный документ с встроенным видео затем преобразуется в архив и распаковывается. В списке содержимого нужно найти файл Document.xml — именно к нему Microsoft Word обращается за инструкциями по работе с контентом.

Чтобы встроить вредоносный код, злоумышленнику достаточно заменить iframe-элемент с окном видеопроигрывателя под тегом embeddedHtml и сохранить обновленный Document.xml. Теперь при открытии файла MS Word выполнит соответствующий скрипт вместо того, чтобы загрузить изначальное видео.

По словам специалистов, уязвимость актуальна для MS Office 2016 и выше. Они предупреждают, что описанный метод могут взять на вооружение фишеры, которые будут прикладывать опасные документы к электронным письмам. Особую тревогу вызывает тот факт, что при открытии вредоносного файла защитные системы не предупреждают пользователя об опасном содержимом.

Эксперты уже сообщили об ошибке Microsoft. Тем не менее, на данный момент неизвестно, станут ли разработчики Word закрывать уязвимость на программном уровне.

Ранее Microsoft отказалась отключать протокол динамического обмена данными (Dynamic Data Exchange), который можно использовать для доставки вредоносного кода. По словам представителей компании, это легитимная функция продукта, а ответственность за блокировку опасного содержимого лежит на пользователях и системных администраторах.

Что еще почитать?