Microsoft Word apresenta vulnerabilidades do tipo UAF

Falha use-after-free permite que invasor acesse memória depois que ela foi liberada, o que pode causar um crash no programa, permitir execução de código remoto completo ou arbitrário

Compartilhar:

Durante os últimos meses, o FortiGuard Labs da Fortinet descobriu e relatou algumas falhas de use-after-free (UAF) encontradas em diferentes versões do Microsoft Word. Estas vulnerabilidades foram corrigidas nas atualizações de segurança de janeiro e março, respectivamente. Essas manchas são classificadas como críticos/ importantes e, como sempre, é recomendado que os usuários atualizem o Microsoft Office o mais rápido possível.

 

Use-after-free refere-se à uma vulnerabilidade que permite que um invasor acesse a memória depois que ela foi liberada, o que pode causar a falha de um programa, permitir a execução de código arbitrário ou até mesmo permitir a execução remota completa de código.

 

A seguir estão alguns detalhes das vulnerabilidades do UAF encontradas no MS Word:

 

CVE-2018-0922 (afeta o MS Word 2007)

 

Esta falha use-after-free ocorre quando o Word tenta analisar um arquivo RTF malformado. Com um arquivo RTF criado especificamente, que inclui uma palavra de controle “listoverride” falsa que leva à confusão do tipo, um invasor remoto pode explorar essa vulnerabilidade para executar código arbitrário no contexto do usuário atual.

 

CVE-2018-0797 (afeta o MS Word 2010 e versões posteriores)

 

Outra falha de use-after-free ocorreu quando o Word tentou analisar um arquivo RTF malformado com palavras de controle de folha de estilo falsas. Com um arquivo RTF especialmente criado, um invasor remoto pode explorar essa vulnerabilidade para executar um código arbitrário no contexto do usuário atual. Esse problema é classificado como crítico, já que é muito provável de ser explorado.

 

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade permite espionagem a entidades de defesa no Oriente Médio, alerta relatório

Operação atribuída ao grupo Stealth Falcon explorou a CVE-2025-33053 para instalar malware furtivo via WebDAV; Microsoft corrigiu a vulnerabilidade no...
Security Report | Overview

Brasil lidera ranking de vazamento de dados com mais de 7 bilhões de registros, afirma pesquisa

Relatório aponta que 550 milhões de cookies brasileiros ainda estão ativos e podem ser usados por hackers para roubo de...
Security Report | Overview

GenAI será ferramenta crítica no enfrentamento de fraudes bancárias, alertam especialistas

Durante o Febraban Tech, marca da B3 apresentou novo recurso do Neoway Seeker, que usa GenAI para gerar resumos inteligentes...
Security Report | Overview

Organização anuncia novo VP LATAM, Fellipe Canale

Executivo retorna à companhia em que atuou como country manager entre 2020 e 2022