Vulnerabilitățile Microsoft Office permit executarea de cod de la distanță
Sursă: https://cybersecuritynews.com
Au fost identificate multiple vulnerabilități în Microsoft Office ce ar putea permite atacatorilor să execute cod arbitrar pe sistemele afectate.
Vulnerabilitățile, urmărite ca CVE-2025-47162, CVE-2025-47953, CVE-2025-47164 și CVE-2025-47167, prezintă un scor CvSS de 8.4/10 și afectează numeroase versiuni Office pe platformele Windows, Mac și Android.
Specialiștii în domeniul securității au descoperit aceste vulnerabilități ce exploatează erori fundamentale de gestionare a memoriei, inclusiv erori de tip heap-based buffer overflow, use-after-free conditionsși type confusion.
CVE-2025-47162 – Heap-Based Buffer Overflow: această vulnerabilitate (CWE-122) provine din verificarea necorespunzătoare a valorilor limită în timpul alocării memoriei în procesele de analizare a fișierelor din Office.
Atacatorii pot crea documente malițioase care conțin payload-uri cu date supradimensionate, declanșând o eroare de tip heap-based buffer overflow când sunt procesate.
CVE-2025-47953 – Use-After-Free via Improper Resource Name Validation: această vulnerabilitate (CWE-641) provine din validarea necorespunzătoare a numelor de fișiere și resurse, conducând la o eroare de tip use-after-free.
Atunci când Office încearcă să acceseze o zonă de memorie după ce a eliberat-o, atacatorii pot injecta cod malițios în locația pointerului suspendat.
CVE-2025-47164 – Classic Use-After-Free in Memory Management: clasificată în categoria CWE-416, această vulnerabilitate provine din faptul că Office nu invalidează indicatorii după eliberarea memoriei.
Atacatorii exploatează acest lucru prin realocarea memoriei eliberate cu date malițioase, ceea ce duce la executarea codului.
CVE-2025-47167 – Type Confusion in Object Handling: această vulnerabilitate (CWE-843) apare atunci când Office gestionează necorespunzător tipurile de objects, considerând o resursă ca fiind un type incompatibil.
Atacatorii creează documente care conțin obiecte malițioase, provocând o eroare de tip type confusion ce duce la coruperea memoriei și permite executarea codului.
Microsoft a lansat actualizări de securitate pe 10 iunie 2025, care acoperă toate versiunile majore Office, inclusiv Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024, Microsoft 365 Apps for Enterprise și Office pentru Android.
Versiunile afectate cuprind atât ediții pe 32 de biți, cât și pe 64 de biți, pachetele de actualizare specifice fiind identificate prin numere de versiune precum 16.0.5504.1000 pentru Office 2016 și 16.98.25060824 pentru versiunile Mac.
Sursă: https://cybersecuritynews.com/microsoft-office-vulnerabilities/
