Vulnerabilități identificate în Microsoft Office și Excel

Microsoft a dezvăluit două vulnerabilități semnificative care afectează produsele sale Office și Excel ca parte a actualizărilor Patch Tuesday din decembrie.

Aceste vulnerabilități, urmărite ca CVE-2024-49059 și CVE-2024-49069, prezintă riscuri majore de securitate, permițând atacatorilor să execute cod de la distanță sau să escaladeze privilegiile în anumite condiții.

CVE-2024-49059 este o vulnerabilitate de Elevare a Privilegiilor în Microsoft Office, evaluată cu un scor CvSS de 7.0/10 și un grad de severitate Important.

Deși nu au fost raportate exploatări active sau dezvăluiri publice, administratorii sunt sfătuiți să aplice prompt actualizările de securitate oficiale.

Microsoft a confirmat că panoul de previzualizare (Preview Pane) nu este un vector de atac pentru această vulnerabilitate.

CVE-2024-49069 afectează Microsoft Excel și este clasificată ca o vulnerabilitate RCE (Remote Code Execution) cu un scor CvSS de 7.8/10. Aceasta provine dintr-o eroare de tip use-after-free (CWE-416).

Exploatarea necesită interacțiunea cu utilizatorul, un atacator determinându-l să deschidă un document Excel malițios. Odată executat, atacatorul poate obține controlul în sistemul utilizatorului.

Exploatarea este mai puțin probabilă, dar rămâne o preocupare serioasă pentru utilizatorii care pot deschide fișiere malițioase.

Microsoft a lansat patch-uri pentru ambele vulnerabilități în diferite versiuni ale Office și Excel, inclusiv Office 2016, Office LTSC 2021/2024 și Microsoft 365 Apps for Enterprise.

Utilizatorii sunt îndemnați să instaleze imediat aceste actualizări pentru a reduce riscurile potențiale. Ambele vulnerabilități evidențiază importanța menținerii software-ului actualizat și a practicării precauției atunci când se manipulează fișiere din surse necunoscute.

Sursă: https://cybersecuritynews.com/office-and-excel-vulnerabilities-allows-rce-attacks/