انتشار رفع نقص غیرمنتظره‌ی مایکروسافت برای Office

‫مایکروسافت به تازگی یک توصیه‌نامه امنیتی جهت به‌روزرسانی نرم‌افزارهای مایکروسافت که از کتابخانه‌ی Autodesk FBX استفاده می‌کنند، منتشر ساخته است.
FBX مخفف Filmbox و یک قالب اختصاصی متعلق به کتابخانه‌ی Autodesk است که برای ذخیره‌سازی داده های ضبط حرکت به همراه جریان‌های صوتی و ویدیویی استفاده می‌شود.
Autodesk که احتمالاً به دلیل نرم‌افزار طراحی AutoCAD مشهور است، دارای طیف وسیعی از محصولات برای رندرینگ ویدیو، ساخت بازی و غیره که شامل فرمت فایل FBX هستند، است.
این توصیه‌نامه، اصلاحات مربوط به شش نقص امنیتی مختلف که با شناسه‌های پشت سر هم CVE-2020-7080 تا CVE-2020-7085 ردیابی می‌شوند را معرفی می‌کند.
این آسیب‌پذیری‌ها، به دلیل طیف وسیعی از خطاهای برنامه‌نویسی مختلف است که اغلب به کدی که اشیای داده‌ی پیچیده را مدیریت می‌کند، وارد می‌شود. این خطاها عبارتند از سرریز بافر، سردرگمی نوع، استفاده پس از آزادسازی، سرریز عددصحیح و اشاره‌گر مقدار هیچ.
به نظر می‌رسد محصولات Microsoft Office 2019 و Office 365 ProPlus مایکروسافت، از فایل‌های FBX پشتیبانی می‌کنند و کدی که آن فایل‌ها را پردازش می‌کند از Autodesk می‌آید. بنابراین آخرین نسخه‌های Office شامل این شش آسیب‌پذیری هستند که پنج مورد از آن‌ها به مهاجم اجازه اجرای کد راه‌ دور را می‌دهد. به گفته‌ی مایکروسافت، اجزای 3D Viewer و Paint 3D از Windows 10 نیز تحت‌تأثیر این نقص‌ها قرار گرفته‌اند که این محصولات نیز به‌روزرسانی شده‌اند.
یک نقص اجرا کد راه‌دور که زمانی وجود دارد که یک برنامه‌ی آسیب‌پذیر، فایل مخربی را پردازش کند، اغلب بدین معنی است که بازکردن یا پیش نمایش آن فایل به راحتی می‌تواند به کلاهبرداران اجازه دهد بر روی رایانه‌ی کاربر، بدافزار نصب کنند. از آنجایی که کاربر هشدارهای معمولی مانند “do you want to download?” یا “this file wants to run a program, are you sure?” را مشاهده نخواهند کرد، بنابراین بازکردن این فایل کاملاً بی‌ضرر به نظر می‌رسد. به عبارت دیگر یک کلاهبردار می‌تواند یک فایل FBX (فایلی که برنامه نیست و قرار نیست برنامه باشد) به کاربر ایمیل کند که این امر ممکن است کاربر را در معرض خطری که مایکروسافت آن را click to run می‌خواند، قرار دهد.
نقص click to run، به اندازه‌ی یک نقص امنیتی که می‌تواند از راه دور، حتی زمانی که کسی وارد سیستم نشده است، مورد سوءاستفاده قرار گیرد، خطرناک نیست، زیرا لازم است حداقل کاربر وسوسه شود مورد مخرب را مشاهده کند. اما یک حمله‌ی click to run از مثلاً یک فایل سند که حاوی ماکروهایی است که باید به عنوان گام دوم پس از بازکردن سند مورد احراز هویت قرار گیرند، بسیار خطرناک‌تر است.
اگرچه ممکن است کاربران تصور کنند هیچ‌گاه یک فایل FBX را باز نخواهند کرد، چرا که بی‌ربط و بی اهمیت است، اما باید توجه داشته باشند که:
• کلاهبرداران به ندرت یک رایانامه‌ی فیشینگ را همزمان ارسال می‌کنند. حتی اگر کلاهبرداران، شرکت کاربر را مستقیماً هدف قرار نمی‌دهند، اما ممکن است پایگاه داده‌ی هرزنامه‌ی آن‌ها شامل چندین ورودی رایانامه برای هر دامنه‌ی شرکتی موجود در لیست باشد. لازم نیست کلاهبرداران همه را فریب دهند؛ آن‌ها می‌توانند هر کسی را هدف قرار دهند و اگر شخصی را فریب دهند، برنده می‌شوند.
• ویندوز به طور پیش‌فرض پسوندهای فایل را نشان نمی‌دهد. فایلی به نام something.text.fbx معمولاً به صورت something.text نمایش داده خواهد شد که به صورت فریبنده‌ای ظاهر ایمنی دارد.
بنا به توصیه‌نامه‌ی مایکروسافت، هیچ راه‌حل یا فاکتور کاهش‌دهنده‌ای برای این آسیب‌پذیری‌ها شناسایی نشده است و لازم است هر چه سریعتر وصله‌کردن صورت پذیرد.
لازم است مشتریان Autodesk نیز محصولات متأثر Autodesk را برای به‌روزرسانی‌های لازم مورد بررسی قرار دهند. لیست Autodesk شامل نسخه‌های مختلف ابزارگان توسعه‌ی نرم‌افزار FBX، Maya، Motion Builder، Mudbox، 3ds Max، Fusion، Revit Flame، Infraworks، Navisworks و Autodesk AutoCAD است.