微软发布带外Office和Paint 3D安全更新,阻止3D图形攻击
微软发布了针对Office、Office 365 ProPlus和Paint 3D产品的重要安全更新,以解决欧特克针对3D动画的FBX文件格式库中新披露的多个BUG。这些更新影响到集成了Autodesk FBX 3D库的微软产品,其中包括32位和64位版本的Microsoft Office 2016 Click-to-Run (C2R)、32位和64位版本的Microsoft Office 2019、32位和64位系统的Office 365 ProPlus以及Paint 3D。
虽然修复措施仅被评为 "重要",但Autodesk FBX库中的漏洞确实允许在受影响产品上执行远程代码。
然而,为了利用该漏洞,攻击者会向受害者发送一个恶意的 3D FBX 文件,并诱使他们打开该文件。
然后攻击者将获得与本地用户相同的用户权限。微软指出,与拥有管理权限的用户相比,系统中权限较少的账户可能受影响较小。
广泛使用的AutoCAD软件的制造商Autodesk在上周三的一份公告中透露,使用FBX-SDK 2020.0版本或更早版本的应用程序和服务受到缓冲区溢出、类型混乱、使用后免费、整数溢出、NULL指针去掉、堆溢出漏洞等漏洞的影响。
这些漏洞被追踪为CVE-2020-7080、CVE-2020-7081、CVE-2020-7082、CVE-2020-7082、CVE-2020-7083、CVE-2020-7084和CVE-2020-7085。
F-Secure研究员Max Van Amerongen向Autodesk报告了CVE-2020-7085,即堆溢出Bug。他在Twitter上发布了一段视频,展示了他对该bug的概念验证漏洞的利用。
My Autodesk FBX Heap Overflow (CVE-2020-7085) has now been disclosed at https://t.co/jvumWcCZE7
Works on FBX SDK < 2019.5
PoC video from disclosure: pic.twitter.com/vayCIomgaP
— maxpl0it (@maxpl0it) April 17, 2020
这些漏洞影响了其他几个Autodesk的产品,包括AutoCAD、Maya、Motion Builder、Mudbox、3ds Max、Fusion、Revit、Infraworks和Navisworks。
Autodesk还感谢微软安全响应中心漏洞和缓解团队的合作。
页:
[1]