Vulnerabilități critice identificate în Microsoft Office
Sursă: https://cybersecuritynews.com
Microsoft a lansat patch-uri pentru două vulnerabilități semnificative din Microsoft Office, care ar putea permite atacatorilor să execute coduri malițioase pe sistemele afectate.
Vulnerabilitățile, CVE-2025-54910 și CVE-2025-54906, afectează diverse versiuni ale cunoscutei suite Office.
Deși Microsoft a evaluat exploatarea ca fiind mai puțin probabilă pentru ambele vulnerabilități în acest moment, potențialul lor de executare a codului de la distanță necesită atenția imediată a utilizatorilor și administratorilor.
CVE-2025-54910 este o vulnerabilitate de tip heap-based buffer overflow cu grad de severitate critic.
Acest tip de vulnerabilitate, catalogată ca CWE-122, poate permite unui atacator neautorizat să execute cod arbitrar la nivel local pe un computer. Un aspect deosebit de important al acestei vulnerabilități este faptul că panoul de previzualizare din Microsoft Office servește ca vector de atac.
Acest lucru înseamnă că un atacator ar putea lansa exploit-ul fără interacțiune din partea utilizatorului, dincolo de simpla primire și vizualizare a unui fișier rău intenționat într-o fereastră Explorer.
A doua vulnerabilitate, CVE-2025-54906, prezintă un grad de severitate important și provine dintr-o eroare de tip Use-After-Free, urmărită ca CWE-416.
Această vulnerabilitate permite, de asemenea, executarea de cod de la distanță. Pentru exploatarea acesteia, un atacator ar trebui să creeze un fișier rău intenționat și să-l determine pe utilizator sa-l deschidă.
Spre deosebire de cealaltă vulnerabilitate, panoul de previzualizare nu este un vector de atac pentru CVE-2025-54906, ceea ce înseamnă că utilizatorul trebuie să interacționeze în mod activ cu conținutul rău intenționat.
Microsoft a lansat actualizări de securitate pentru a remedia aceste vulnerabilități pentru majoritatea programelor afectate. Se recomandă aplicarea tuturor actualizărilor disponibile pentru programale instalate.
Trebuie menționat că actualizările de securitate pentru Microsoft Office LTSC pentru Mac 2021 și 2024 nu sunt disponibile imediat, dar vor fi lansate în curând.
Sursă: https://cybersecuritynews.com/critical-microsoft-office-vulnerabilities/
