Microsoft priznao opasnu ranjivost Officea, zakrpe još nema
Sigurnosni propust je "zero-day" tipa, što znači da su za njega prvo saznali negativci koji ga pokušavaju iskoristiti, a tek je potom o njemu obaviješten i proizvođač softvera
Sve novije inačice vrlo rasprostranjenog uredskog paketa Office imaju kritičan sigurnosni propust, koji može napadaču omogućiti preuzimanje osjetljivih podataka s računala žrtve. Priznao je to Microsoft na svojim stranicama posvećenima sigurnosti, ali zakrpu još uvijek nisu izdali. Ovdje je riječ o tzv. "zero-day" propustu, dakle onome koji je nepoznat proizvođaču softvera prije negoli je otkriven i možda iskorišten za maliciozne napade.
Pristup do podataka
Propust je opisan kao "Microsoft Office Spoofing Vulnerability" i oznake je CVE-2024-38200, a omogućava napadaču pristup podacima koje nitko izuzev samog korisnika ne bi trebao imati pod kontrolom. U slučaju kad napadač priredi posebnu internetsku stranicu, s dokumentom namijenjenim za iskorištavanje tog propusta, pa se žrtvu navede da posjeti tako kompromitirani URL, žrtvino se računalo nalazi u neposrednoj opasnosti. S njega napadač potom može preuzeti osjetljive podatke, kao što su podaci o samom računalu i OS-u, osobni podaci korisnika ili metapodaci vezani uz mrežnu aktivnost.
Ono što je posebno zabrinjavajuće jest činjenica da propust postoji u svim novijim verzijama Microsoftovog uredskog softverskog paketa: u opasnosti su Office 2016, Office 2019, Office LTSC 2021, Microsoft 365 Apps for Enterprise, i to u 32- i 64-bitnim izvedbama. Vjerojatnost da se propust već aktivno koristi u napadima opisana je kao vrlo visoka, no Microsoft i dalje nema zakrpu za uočene probleme. One su tek u izradi i datum objave bit će objavljen naknadno – dotad najbolji savjet glasi "ne klikati na sumnjive poveznice", čega se i inače dobro pridržavati.