Microsoft Word apresenta vulnerabilidades do tipo UAF

Falha use-after-free permite que invasor acesse memória depois que ela foi liberada, o que pode causar um crash no programa, permitir execução de código remoto completo ou arbitrário

Compartilhar:

Durante os últimos meses, o FortiGuard Labs da Fortinet descobriu e relatou algumas falhas de use-after-free (UAF) encontradas em diferentes versões do Microsoft Word. Estas vulnerabilidades foram corrigidas nas atualizações de segurança de janeiro e março, respectivamente. Essas manchas são classificadas como críticos/ importantes e, como sempre, é recomendado que os usuários atualizem o Microsoft Office o mais rápido possível.

 

Use-after-free refere-se à uma vulnerabilidade que permite que um invasor acesse a memória depois que ela foi liberada, o que pode causar a falha de um programa, permitir a execução de código arbitrário ou até mesmo permitir a execução remota completa de código.

 

A seguir estão alguns detalhes das vulnerabilidades do UAF encontradas no MS Word:

 

CVE-2018-0922 (afeta o MS Word 2007)

 

Esta falha use-after-free ocorre quando o Word tenta analisar um arquivo RTF malformado. Com um arquivo RTF criado especificamente, que inclui uma palavra de controle “listoverride” falsa que leva à confusão do tipo, um invasor remoto pode explorar essa vulnerabilidade para executar código arbitrário no contexto do usuário atual.

 

CVE-2018-0797 (afeta o MS Word 2010 e versões posteriores)

 

Outra falha de use-after-free ocorreu quando o Word tentou analisar um arquivo RTF malformado com palavras de controle de folha de estilo falsas. Com um arquivo RTF especialmente criado, um invasor remoto pode explorar essa vulnerabilidade para executar um código arbitrário no contexto do usuário atual. Esse problema é classificado como crítico, já que é muito provável de ser explorado.

 

Conteúdos Relacionados

Security Report | Overview

Qual o impacto transformador da IA Agêntica nos SOCs?

A IA é cada vez mais usada por adversários em campanhas de engenharia social. Ao mesmo tempo, ataques a ambientes...
Security Report | Overview

Serpro entrega Segurança de dados e infraestrutura digital para a Cúpula do BRICS

Estatal de inteligência em governo digital garante credenciamento, proteção de dados e suporte tecnológico no encontro que reúne autoridades de...
Security Report | Overview

Maiores desafios das PMEs em Cibersegurança são ransomware, IA e conectividade, alerta análise

Os especialistas destacam como a combinação de conectividade avançada e cibersegurança pode proteger e impulsionar pequenos negócios na era da...
Security Report | Overview

Estudo detecta grupo de espionagem focado em governo, tecnologia e manufatura no Brasil

A ISH Tecnologia publica análise sobre arsenal cibernético usado por grupo ligado ao Estado chinês