image

Microsoft komt met noodpatch voor lekken in Office en Paint 3D

woensdag 22 april 2020, 09:20 door Redactie, 10 reacties

Microsoft heeft buiten de vaste patchcyclus om noodpatches voor Office 2016, Office 2019, Office 365 ProPlus en Paint 3D uitgebracht die meerdere kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval volledige controle over het systeem zou kunnen krijgen.

De beveiligingslekken zijn aanwezig in de Autodesk FBX-library die aan de eerder genoemde programma's is toegevoegd en wordt gebruikt voor het weergeven van 3D-content. Door een gebruiker van deze programma's een speciaal geprepareerd bestand te laten openen kan een aanvaller willekeurige code met de rechten van de ingelogde gebruiker uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de impact bevinden de kwetsbaarheden zich tussen een 7 en 8,9, zo blijkt uit de advisory van Autodesk.

De updates worden op de meeste systemen automatisch geïnstalleerd. De update voor Paint 3D is ook via de Microsoft Store te downloaden.

Reacties (10)
22-04-2020, 09:43 door Anoniem
Mijn Paint 3D heeft 19 april 2020 de laatste update gehad onder Windows 10 Home 1903 (En).
De versie is 6.2003.4017.0.

Er is geen nieuwere versie.
22-04-2020, 10:37 door Anoniem
Weet iemand of dit ook geexploiteerd kan worden door enkel een e-mail te openen? Microsoft ondersteund namelijk ook 3d-modellen in Outlook.
22-04-2020, 10:57 door Anoniem
nog niet te vinden in WSUS?
22-04-2020, 11:00 door Bitje-scheef
Ach ja Office.... never ending story..
22-04-2020, 12:13 door souplost
Door Bitje-scheef: Ach ja Office.... never ending story..
Daar zit inderdaad een bitje scheef :)
22-04-2020, 12:49 door Anoniem
Door Bitje-scheef: Ach ja Office.... never ending story..
Maar de fout zit in leveranciers libraries en dus niet direct een Office probleem.
22-04-2020, 14:05 door souplost
Door Anoniem:
Door Bitje-scheef: Ach ja Office.... never ending story..
Maar de fout zit in leveranciers libraries en dus niet direct een Office probleem.
Blijft office maar ik zie niet waarom willekeurige code met de rechten van de ingelogde gebruiker zou leiden tot een 9 op de schaal van 1 - 10
22-04-2020, 16:41 door Anoniem
Door souplost:
Door Anoniem:
Door Bitje-scheef: Ach ja Office.... never ending story..
Maar de fout zit in leveranciers libraries en dus niet direct een Office probleem.
Blijft office
Maar daar ligt het niet aan. Fout zit in 3de partij software.

maar ik zie niet waarom willekeurige code met de rechten van de ingelogde gebruiker zou leiden tot een 9 op de schaal van 1 - 10
belangrijk... Tot een 9.

Ik zie een 7.8 voorbij komen: https://nvd.nist.gov/vuln/detail/CVE-2020-7085
22-04-2020, 21:08 door Anoniem
Door Anoniem:
Door souplost:
Door Anoniem:
Door Bitje-scheef: Ach ja Office.... never ending story..
Maar de fout zit in leveranciers libraries en dus niet direct een Office probleem.
Blijft office
Maar daar ligt het niet aan. Fout zit in 3de partij software.

maar ik zie niet waarom willekeurige code met de rechten van de ingelogde gebruiker zou leiden tot een 9 op de schaal van 1 - 10
belangrijk... Tot een 9.

Ik zie een 7.8 voorbij komen: https://nvd.nist.gov/vuln/detail/CVE-2020-7085

De fout zit in software die geleverd is door een derde partij, maar die door Microsoft bij Office gevoegd is. Wie ervoor kiest om met een onderleverancier in zee te gaan, is net zo verantwoordelijk voor hun werk als zijn eigen werk. Anders kan je je er wel heel makkelijk vanaf maken als je je huiswerk niet doet. Microsoft heeft hier de keuze voor deze library gemaakt en daarmee de verantwoordelijkheid voor deze library.
26-04-2020, 20:20 door Anoniem
Door Bitje-scheef: Ach ja Office.... never ending story..
Uhm, wat verwacht je dan? Heb je met naïviteit een voorbeeld van niet neverending story, dus waar alles af en klaar en perfect is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.