همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

هشدار مرکز ماهر در مورد سوءاستفاده از آسیب‌پذیری در مایکروسافت؛ ارسال فایل‌های مخرب که باعث خرابی سیستم می‌شوند!

هشدار مرکز ماهر در مورد سوءاستفاده از آسیب‌پذیری در مایکروسافت  ارسال فایل‌های مخرب که باعث خرابی سیستم می‌شوند!

محققان، آسیب‌پذیری وصله‌نشده‌ای را در ویژگی "Online Video" مایکروسافت کشف کرده‌اند که به مهاجمان، امکان ارسال فایل‌های مخرب به سیستم قربانی را می‌دهد.

به گزارش عصر ارتباط، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) درباره آسیب‌پذیری MICROSOFT WORD  اعلام کرد که این اشکال هنگامی رخ می‌دهد که کاربر، یک ویدئو را از طریق ویژگی "Video Online" در یک سند ‫Word تعبیه کند. این آسیب‌پذیری در فایل ".xml" وجود دارد که در آن، پارامتر "embeddedHtml" به یک کد iframe در یوتیوب اشاره دارد. هکرها می‌توانند کد iframe فعلی یوتیوب را با HTML/JavaScript مخرب که توسط اینترنت اکسپلورر ارائه می‌شود، جایگزین کنند.

به‌گفته‌ی محققان، تغییر گذرواژه‌ی ویدئوی یوتیوب جاسازی‌شده در یک سند Word، برای مهاجمان بسیار آسان است. آن‌ها فقط باید فایل "document.xml" را ویرایش کنند و لینک ویدئو را با بار مخرب جایگزین کنند.

محققان گمان می‌کنند که مهاجمان ممکن است از این تکنیک برای حملات فیشینگ استفاده کنند، زیرا سند، ویدئوی جاسازی‌شده با لینک به YouTube را نشان می‌دهد، در حالی که ممکن است یک کد مخفی HTML/JavaScript در پس‌زمینه اجرا شود و به اجرای کد بیش‌تر منجر شود.

هکرها برای استفاده از این حمله، یک لینک ویدئو را داخل سند Word جاسازی کرده و آن را با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس کاربران را به بازکردن فایل Word ترغیب می‌کنند. با این ترفند، کاربران هدف ممکن است هیچ چیز بدبینانه‌ای را مشاهده نکنند، زیرا بازکردن سند دارای ویدئوی جاسازی‌شده، هیچ اخطاری ایجاد نمی‌کند.

این اشکال بر مایکروسافت آفیس 2016 و تمام نسخه‌های قبلی دارای ویژگی "Video Online" تأثیر می‌گذارد. محققان سه ماه پیش این آسیب‌پذیری را به مایکروسافت گزارش کردند اما به‌نظر می‌رسد مایکروسافت قصد ندارد این مشکل را حل کند و معتقد است نرم‌افزار Word، تفسیر HTML را به‌درستی انجام می‌دهد.

به مدیران شرکت‌ها توصیه می‌شود سندهای Word دارای برچسب "embeddedHtml" در فایل "document.xml" اسناد Word را مسدود کنند و پیوست‌های ای‌میل ناخواسته را از منابع ناشناخته یا مشکوک باز نکنند.

درج دیدگاه

مطالب مشابه ICTNews.ir

  • گلکسی نوت 10 با شارژ سریع‌‌تر معرفی می‌شود

    گلکسی نوت 10 با شارژ سریع‌‌تر معرفی می‌شود

    با آنکه تا زمان معرفی گلکسی نوت ۱۰ سامسونگ زمان زیادی باقیمانده است، اخبار غیررسمی و فاش‌شده‌ی بسیاری درباره‌ی گوشی هوشمند سامسونگ منتشر می‌شود. براساس اخبار فاش‌شده‌ی دو منبع مختلف که به‌نظر می‌رسد هر دو منابع مطمئنی هستند و معمولا اخبار موثقی منتشر می‌‌کنند، انتظار می‌رود گوشی سامسونگ گلکسی نوت ۱۰ با فناوری شارژ سریع‌تر از شارژر ۲۵ وات معرفی و به بازار عرضه شود.

  • شیوه پرداخت تسهیلات به شتاب دهنده های استانی ICT

    شیوه پرداخت تسهیلات به شتاب دهنده های استانی ICT

    وزارت ارتباطات و فناوری اطلاعات نحوه ارائه تسهیلات به شتابدهنده های استانی کسب و کارهای نوپای حوزه فاوا را اعلام کرد.

  • بات‌های مخرب اصلی اینترنت

    بات‌های مخرب اصلی اینترنت

    فضای اینترنت بسیار گسترده است و بدون شک یک‌پنجم از این فضا، مقدار بسیار عظیمی از ترافیک را شامل می‌شود. جالب است بدانید دقیقا همین مقدار ترافیک را بات‌های مخرب استفاده می‌کنند. ترافیک خودکار ایجادشده‌ی بات‌ها یکی از روش‌های اصلی حمله به وب‌سایت‌ها و اپلیکیشن‌های موبایل و رابط‌های برنامه‌نویسی کاربردی (API) به‌شمار می‌رود. همچنین، ضررهای اقتصادی از بزرگ‌ترین مشکلات مربوط‌به حمله‌های مذکور شناخته می‌شوند و صنعت بانکداری به‌عنوان یکی از اهداف بالقوه با تهدید مواجه می‌شود

  • سامسونگ بریدگی برای دوربین روی صفحه‌نمایش را نیز حذف می کند

    سامسونگ بریدگی برای دوربین روی صفحه‌نمایش را نیز حذف می کند

    سامسونگ در حال کار روی طرح‌هایی است تا پنل جلویی گوشی‌های هوشمند خود را به‌طور کامل به نمایشگر تبدیل کند. به‌بیان‌دیگر، آن‌ها می‌خواهند کل حاشیه و همچنین نقاط بریدگی برای دوربین جلو را نیز از طراحی خود حذف کنند.

  • شناسایی ترافیک نامتعارف بین الملل در دستور کاری شرکت زیرساخت

    شناسایی ترافیک نامتعارف بین الملل در دستور کاری شرکت زیرساخت

    مدیرعامل شرکت ارتباطات زیرساخت از شناسایی شماره تلفن هایی که دارای ترافیک نامتعارف ارتباطی هستند خبر داد و گفت: این شماره ها به صورت هفتگی در شبکه زیرساخت شناسایی و پیگیری حقوقی می شوند.

  • هوش مصنوعی PlaNET گوگل به رایگان عرضه شد

    هوش مصنوعی PlaNET گوگل به رایگان عرضه شد

    یادگیری از طریق درک نتایج هوش مصنوعی، با نام Reinforcement Leraning شناخته می‌شود. این نوع از یادگیری با بهره‌گیری زمان، داده و قدرت پردازشی زیاد، یکی از بهترین روش‌ها برای بهبود فرایند تصمیم‌گیری کارگزارهای هوشمند است. البته، روش فوق همیشه هم کاربردی نیست؛ چرا که رویکردهای آموزشی بدون مدل خاص برای آموزش هوش مصنوعی، شاید به هفته‌ها زمان برای آموزش نیاز داشته باشند

  • پابجی بهترین بازی سال 2018 شد

    پابجی بهترین بازی سال 2018 شد

    همان‌طور که احتمالا می‌دانید، نحوه انتخاب بازی سال در استیم کمی با سایر مراسم‌ها تفاوت دارد. امسال هم مانند گذشته، کمپانی والو از کاربران استیم درخواست کرده تا بدون توجه به سال انتشار بازی‌ها، بهترین بازی سال استیم و هفت بخش دیگر را انتخاب کنند که نتیجه آن را در ادامه باهم می‌خوانیم:

  • فعالیت بیش از 4 هزار و 100شرکت دانش بنیان در کشور

    فعالیت بیش از 4 هزار و 100شرکت دانش بنیان در کشور

    ستاری اظهار داشت: در حال حاضر بیش از ۴۱۰۰ شرکت دانش بنیان ارزش چند صد هزار میلیارد تومانی تولید می‌کنند و باید دست به دست هم دهیم و با همدلی موانع این شرکت‌ها را رفع کنیم.

  • لنز مایع توسط هواوی عرضه خواهد شد

    لنز مایع توسط هواوی عرضه خواهد شد

    بر خلاف اکثر دوربین‌ها که از لنز مکانیکی یا نرم‌افزار برای تغییر فوکوس استفاده می‌کنند، دوربین‌های مجهز به لنز مایع همان‌طور که از اسمشان مشخص است از یک مایع که ترکیبی از آب و روغن است برای انجام این کار استفاده می‌کنند.

  • نسخه iOS واتس اپ پاسخ دادن بصورت مخفی را آورد

    نسخه iOS واتس اپ پاسخ دادن بصورت مخفی را آورد

    تا آن زمان، به نظر می‌رسید که این قابلیت در انحصار کاربران اندروید قرار دارد. با این وجود، گزارشات جدید حاکی از آنند که کاربران آیفون هم در آخرین به‌روزرسانی اپلیکیشن این ویژگی را دریافت کرده‌اند.

عصــر بــازی