Търсене
Close this search box.

Нов инструмент откри над 100 уязвимости в офисни приложения

Изследователи по сигурността са разработили инструмент за сканиране на популярния офис софтуер за уязвимости в сигурността и вече са открили повече от 100 такива в Microsoft Word, Adobe Acrobat и Foxit Reader.

Инструментът, известен като Cooper, подхожда към сканирането на уязвимости, като разглежда начина, по който офис софтуерът интегрира езици за програмиране като JavaScript и Python, за да изпълнява автоматизирани функции като манипулиране на файлове.

Изследването, в съавторство на Пенг Шу, Янхао Уонг, Хонг Ху и Пуруи Су от Училището по киберсигурност към Университета на Китайската академия на науките, представи инструмента и подчертава уязвимостите, причинени от взаимодействието на езици на високо и ниско ниво. .

В изследователска статия, описваща подробно инструмента  Cooper, изследователите казват, че е необходим „свързващ слой“, за да преведе по същество действията на скрипта, написани на езици от високо ниво като JavaScript и Python, в код, който може да бъде интерпретиран от езици от ниско ниво. (C/C++), използван за внедряване на действията на скрипта в самия софтуер.

Този свързващ слой е склонен да създава непоследователни представяния на скриптовете и понякога може също да пренебрегне важни проверки за сигурност, което води до откриване на „сериозни уязвимости в сигурността“ на софтуера.

След като стартираха Cooper на Adobe Acrobat, Microsoft Word и Foxit Reader, изследователите успяха да намерят общо 134 нови грешки – 60 за Adobe Acrobat, 56 в Foxit Reader и 18 в Microsoft Word.

Повечето от грешките, открити от Cooper като част от изследването (103), са потвърдени и 59 от тях вече са отстранени, което дава на изследователите 22 000 долара награди за открити бъгове.

Издадени са и общо 33 CVE (официални, проследими кодове за уязвимост), включително CVE-2021-21028 и CVE-2021-21035 – двойка грешки в Adobe Acrobat, всяка с оценка 8,8 по скалата за сериозност на CVSSv3.

Изследователите са използвали fuzzing, за да тестват за уязвимости в програмите – техника, която обикновено се използва в такива изследвания и включва произволно генериране на голям брой входове, които се подават в програмата, за да се подчертаят поведенческите аномалии, казаха авторите на изследването.

Имаше ограничения за използването на техниката и изследователите разработиха „нови техники“: групиране на обекти, извод за статистически взаимоотношения и мутация, ръководена от връзката, за да се справят с тях. Ограниченията на размиването се крият в начина, по който той изследва мутацията на кода.

Fuzzing е едноизмерен, тъй като модифицира изрази само от кода на високо ниво, но обвързващите оператори получават входни данни от две измерения – кода на високо ниво в скриптовете и кода на ниско ниво в основната система. Това ограничение означава, че всяка грешка в кода за свързване не може да бъде открита само в едно измерение.

Това беше доказано от изследователите, които също използваха съществуващия Domato JavaScript fuzzer в експеримента, който откри значително по-малко грешки от Cooper. Изследователите планират да пуснат отворения код за Cooper чрез своята страница в GitHub, така че общността да може да помогне за изграждането му и допълнително да подобри сигурността на свързващите слоеве.

Източник: По материали от Интернет

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
16 юни 2024

Бивш служител е осъден на 32 месеца затвор за и...

Бивш служител на National Computer Systems (NCS), отговарящ за осиг...
Бъдете социални
Още по темата
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
28/02/2024

Предимства на включването н...

Кибератаките се развиват и стават все...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!