Microsoft avertizează asupra unor atacuri de tip zero-day pentru Office

Atacatorii exploatează în mod activ vulnerabilitățile neremediate încă în cadrul produselor Microsoft Windows și Office.

Microsoft a relatat asupra unei serii de vulnerablități de tip remote code execution care afectează utilizatorii Windows și Office.

Specialiștii în securitate cibernetică au catalogat vulnerabilitățile Office ca CVE-2023-36884 și au sugerat că un pachet de actualizări de tip out-of-band ar putea fi lansat curând.

Un atacator ar putea crea un document Microsoft Office malițios care să îi permită să execute cod de la distanță. Cu toate acestea, atacatorul ar trebui să convingă victima să acceseze fișierul malițios.

O echipă din cadrul Microsoft a identificat și raportat o campanie de phising cu exploit-uri de tip zero-day pentru Office. Identificată ca CVE-2023-36884, campania includea o vulnerabilitate de tip remote code execution exploatată prin intermediul documentelor Microsoft Word.

Producătorul de software Adobe a lansat, de asemenea, pachete de actualizări pentru vulnerabilități pentru produsele InDesign și ColdFusion. 

Actualizarea Adobe InDesign, disponibilă pentru Windows și macOS, remediază o vulnerabilitate critică de tip code execution și alte 11 vulnerabilități de tip memory safety.

De asemenea, un alt buletin de securitate a fost publicat cu actualizări pentru trei vulnerabilități ce afectează versiunile 2023, 2021 și 2018 ale Adobe ColdFusion.

Totodată, compania Adobe a atras atenția asupra CVE-2023-29300, o vulnerabilitate de tip deserialization of untrusted data cu un scor CVSS de 9,8/10.

Sursă: https://www.securityweek.com/microsoft-warns-of-office-zero-day-attacks-no-patch-available/