無(wú)法完全修補(bǔ) 117 個(gè)漏洞，微軟 Microsoft 365 暫時(shí)禁用 SketchUp 工具

IT之家 11 月 8 日消息，網(wǎng)絡(luò)安全公司 Zscaler 近日發(fā)現(xiàn)了 Microsoft 365 套件中的 117 處漏洞，而這些漏洞均存在于 SketchUp 中。

微軟隨后發(fā)布了相應(yīng)的修復(fù)補(bǔ)丁，但研究人員測(cè)試之后，發(fā)現(xiàn)依然可以繞過修復(fù)補(bǔ)丁，執(zhí)行相應(yīng)的攻擊操作。微軟為此暫時(shí)在 Microsoft 365 中禁用了 SketchUp，待更完善地修復(fù)補(bǔ)丁發(fā)布之后，再開放 SketchUp。

IT之家注：SketchUp 是一套直接面向設(shè)計(jì)方案創(chuàng)作過程的設(shè)計(jì)工具，其創(chuàng)作過程不僅能夠充分表達(dá)設(shè)計(jì)師的思想而且完全滿足與客戶即時(shí)交流的需要，它使得設(shè)計(jì)師可以直接在電腦上進(jìn)行十分直觀的構(gòu)思，是三維建筑設(shè)計(jì)方案創(chuàng)作的優(yōu)秀工具。

Zscaler ThreatLabz 團(tuán)隊(duì)透露，他們?cè)趯?duì) Office 3D 組件進(jìn)行逆向工程之后，發(fā)現(xiàn)微軟調(diào)用多個(gè) SketchUp C API，讓應(yīng)用處理 SketchUp（SKP）文件。

團(tuán)隊(duì)在該過程中發(fā)現(xiàn)了 20 多處漏洞，隨后又發(fā)現(xiàn)了另外 97 個(gè)漏洞，涉及越界寫入（out-of-bounds write）、堆棧緩沖區(qū)溢出等等。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。