ปิด
เมนู

ช่องโหว่ 117 รายการส่งผลกระทบต่อผู้ใช้ Microsoft 365

click fraud protection

สิ่งที่คุณต้องรู้

  • Zscaler บริษัทรักษาความปลอดภัยทางไซเบอร์ค้นพบช่องโหว่ 117 รายการซึ่งส่งผลกระทบต่อชุด Microsoft 365 โดยระบุว่า SketchUp เป็นสาเหตุหลักของปัญหาเหล่านี้
  • Microsoft ได้ออกแพตช์สำหรับปัญหาเหล่านี้ แต่นักวิจัยอ้างว่ายังคงสามารถข้ามการแก้ไขได้
  • SketchUp ถูกปิดใช้งานชั่วคราวในชุด Microsoft 365 เนื่องจาก Microsoft ทำงานด้วยความละเอียดถาวร

รายงานที่เกิดขึ้นใหม่โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ที่มีชื่อว่า Zscaler ค้นพบช่องโหว่มากกว่าร้อยรายการใน Microsoft 365. รายงานให้รายละเอียดเพิ่มเติมว่าการที่ SketchUp เข้าสู่แพลตฟอร์มล่าสุดคือต้นตอของปัญหาเหล่านี้

สำหรับผู้ที่ไม่คุ้นเคยกับไฟล์ SketchUp (SKP) ไฟล์เหล่านี้เป็นรูปแบบไฟล์โมเดล 3 มิติที่พัฒนาขึ้นในต้นปี 2000 แม้ว่า Microsoft จะรวมเข้ากับเครื่องมือเพิ่มประสิทธิภาพการทำงานบนคลาวด์เมื่อปีที่แล้ว

นักวิจัยเปิดเผยว่าพวกเขากำลังตรวจสอบแพลตฟอร์มนี้มาเป็นเวลาสามเดือนแล้ว ในช่วงเวลานี้เองที่พวกเขาสามารถระบุช่องโหว่และข้อบกพร่องด้านความปลอดภัยที่ไม่ซ้ำใครได้ถึง 117 รายการ แอป Microsoft 365.

โปรแกรมแก้ไขของ Microsoft ไม่ทำงาน

น่าแปลกที่ Microsoft ได้ออกแพทช์สำหรับข้อบกพร่องเหล่านี้เมื่อทราบสถานการณ์ แต่ถึงกระนั้นทีม Zscaler ThreatLabz ก็อ้างว่าพวกเขาสามารถข้ามการแก้ไขได้ ด้วยเหตุนี้ การดำเนินการนี้จึงบังคับให้ Microsoft ปิดการสนับสนุน SketchUp ในเดือนมิถุนายน 2023 เพื่อเป็นมาตรการชั่วคราวเพื่อป้องกันไม่ให้ปัญหานี้ลุกลามจนควบคุมไม่ได้ อย่างไรก็ตาม การสนับสนุนสำหรับ SketchUp ยังคงปิดใช้งานอยู่

ชุด Microsoft 365ซึ่งอาจบ่งบอกว่าบริษัทยังคงดำเนินการแก้ไขปัญหาอยู่

ทีม Zscaler ThreatLabz เปิดเผยว่าได้ค้นพบในขณะที่ทำวิศวกรรมย้อนกลับส่วนประกอบ Office 3D การเจาะลึกเข้าไปในส่วนประกอบทำให้พวกเขาพบว่า Microsoft ใช้ SketchUp C API หลายตัวเพื่ออนุญาตให้โปรแกรมต่างๆ รวบรวมไฟล์ SKP การวิจัยค้นพบข้อบกพร่อง 20 ข้อในทันที ตามมาด้วยอีก 97 รายการตั้งแต่การเขียนนอกขอบเขตไปจนถึงสแต็กบัฟเฟอร์ล้น และสุดท้ายคือช่องโหว่ฮีปบัฟเฟอร์ล้น

ปัญหานี้แพร่หลายแค่ไหน?

ขณะที่กำลังพูดคุยด้วย เทคทาร์เก็ตKai Lu นักวิจัยอาวุโสด้านความปลอดภัยของ Zscaler เปิดเผยว่าช่องโหว่ต่างๆ ยังไม่ได้รับการสำรวจในป่า ถึงกระนั้น ก็มีความเป็นไปได้ที่จะไม่เป็นเช่นนั้นหาก Microsoft ไม่ได้รับการแก้ไขอย่างถาวรในเร็วๆ นี้

มีความเป็นไปได้ที่ผู้คุกคามที่มีทักษะสามารถค้นพบและสร้างช่องโหว่เดียวกัน (หรือคล้ายกัน) ให้เป็นอาวุธได้ การตัดสินใจปิดใช้งานการสนับสนุน SketchUp ชั่วคราวจะป้องกันการใช้ประโยชน์จากเวอร์ชันที่ได้รับการติดตั้งและจำกัดผลกระทบที่อาจเกิดขึ้น

สถานะ SketchUp ในชุด Microsoft 365 ยังคงปิดใช้งานอยู่ แม้ว่า Microsoft กำลังทำงานเพื่อแก้ไขปัญหานี้ และขอให้ผู้ใช้จับตาดูสถานะของ SketchUp ในหน้าเฉพาะ

ไมโครซอฟต์ 365 ส่วนบุคคล

ไมโครซอฟต์ 365 ส่วนบุคคล | จาก $70/ปี
Microsoft 365 Personal มาพร้อมกับชุด Office และพื้นที่เก็บข้อมูล OneDrive ขนาด 1TB ช่วยให้คุณทำงานได้จากอุปกรณ์หลากหลาย รวมถึง Windows, macOS, iOS และ Android นอกจากนี้ยังมีรายการแอปและบริการอื่นๆ มากมาย เช่น Editor, Microsoft Forms และ Microsoft Teams

ดูข้อเสนอ