مایکروسافت یک آسیبپذیری روز صفر با شدت بالا به شناسه CVE-2024-38200 با امتیاز 7.5 را فاش کرده است که آفیس 2016 به بعد را تحت تأثیر قرار میدهد و هنوز منتظر وصله است.
این آسیبپذیری ناشی از نقص افشای اطلاعات است که به عوامل غیر مجاز اجازه میدهد به اطلاعات محافظت شده مانند وضعیت سیستم یا دادههای پیکربندی، اطلاعات شخصی یا متادیتای اتصال، دسترسی داشته باشند. این روز صفر بر چندین نسخه آفیس 32 و 64 بیتی، از جمله آفیس 2016، آفیس 2019، آفیس LTSC 2021 و اپهای مایکروسافت 365 سازمانی تأثیر میگذارد.
به گفته مایکروسافت: در سناریوی حمله مبتنی بر وب، مهاجم میتواند یک وبسایت را میزبانی کند (یا از وبسایت در معرض خطر استفاده کند که محتوای ارائه شده توسط کاربر را میپذیرد یا میزبانی میکند) که حاوی یک فایل ساخته شده ویژه است و برای اکسپلویت آسیبپذیری طراحی شده است».
با این حال، مهاجم راهی برای مجبور کردن کاربر به بازدید از وبسایت ندارد. در عوض، باید کاربر را به کلیک روی لینک ایمیل یا پیام مسنجر متقاعد کند، سپس کاربر را به باز کردن فایل ساخته شده ویژه ترغیب میکند. MITER برخلاف ارزیابی قابلیت بهرهبرداری مایکروسافت، احتمال اکسپلویت CVE-2024-38200 این نوع نقص را بسیار محتمل عنوان کرده است.
https://www.bleepingcomputer.com/news/security/microsoft-discloses-office-zero-day-still-working-on-a-patch/
