無(wú)法完全修補(bǔ)117個(gè)漏洞，微軟Microsoft 365暫停SketchUp工具

無(wú)法完全修補(bǔ)117個(gè)漏洞，微軟Microsoft 365暫停SketchUp工具

IT之家 11 月 8 日消息，網(wǎng)絡(luò)安全公司 Zscaler 近日發(fā)現(xiàn)了 Microsoft 365 套件中的 117 處漏洞，而這些漏洞均存在于 SketchUp 中。

微軟隨后發(fā)布了相應(yīng)的修復(fù)補(bǔ)丁，但研究人員測(cè)試之后，發(fā)現(xiàn)依然可以繞過(guò)修復(fù)補(bǔ)丁，執(zhí)行相應(yīng)的攻擊操作。微軟為此暫時(shí)在 Microsoft 365 中禁用了 SketchUp，待更完善地修復(fù)補(bǔ)丁發(fā)布之后，再開(kāi)放 SketchUp。

IT之家注：SketchUp 是一套直接面向設(shè)計(jì)方案創(chuàng)作過(guò)程的設(shè)計(jì)工具，其創(chuàng)作過(guò)程不僅能夠充分表達(dá)設(shè)計(jì)師的思想而且完全滿足與客戶即時(shí)交流的需要，它使得設(shè)計(jì)師可以直接在電腦上進(jìn)行十分直觀的構(gòu)思，是三維建筑設(shè)計(jì)方案創(chuàng)作的優(yōu)秀工具。

Zscaler ThreatLabz 團(tuán)隊(duì)透露，他們?cè)趯?duì) Office 3D 組件進(jìn)行逆向工程之后，發(fā)現(xiàn)微軟調(diào)用多個(gè) SketchUp C API，讓?xiě)?yīng)用處理 SketchUp（SKP）文件。

團(tuán)隊(duì)在該過(guò)程中發(fā)現(xiàn)了 20 多處漏洞，隨后又發(fā)現(xiàn)了另外 97 個(gè)漏洞，涉及越界寫(xiě)入（outofbounds write）、堆棧緩沖區(qū)溢出等等。