កំហុសឆ្គងនៃ Unpatched MS Word អនុញ្ញាតឱ្យអ្នកវាយប្រហារជាច្រើនឈ្លានពានទៅលើកុំព្យូទ័ររបស់អ្នកបាន

0

ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពទើបតែធ្វើការទម្លាយនូវកំហុសឆ្គងនៃ​ unpatched ដែលរកឃើញនៅក្នុងកម្មវិធី Microsoft Office 2016 ឬ Version ដែលទាបជាងនេះដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការបញ្ចូលនូវកូវមេរោគទៅក្នុងឯកសារ File នឹងបោកបញ្ឆោតអ្នកប្រើប្រាស់អោយធ្វើការដំណើរការនូវមេរោគ Malware ទាំងនោះនៅលើម៉ាស៊ីនរបស់ពួកគេ។

នៅក្នុងការរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវនៅ Cymulate កំហុសឆ្គងនេះគឺរំលោភបំពានទៅលើគោលការណ៍ ‘Online Video’ option នៅក្នុងឯកសារ Word ហើយមុខងារនេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ជាច្រើនធ្វើការបញ្ចូលនូវវីដេអូអនឡាញជាមួយនឹង Link ទៅកាន់ YouTube បាន។

នៅពេលដែលអ្នកប្រើប្រាស់បន្ថែមនូវ Link នៃវីដេអូអនឡាញនេះទៅកាន់ឯកសារ MS Word នោះ មុខងារ Online Video នេះនឹងធ្វើការដំណើរការដោយស្វ័យប្រវត្តិក្នុងការបង្កើតនូវ HTML embed script ដែលដំណើរការនៅក្នុងឯកសារនេះបានដោយគ្រាន់តែត្រូវការ Click ពីអ្នកមើលតែប៉ុណ្ណោះ។ ក្រុមអ្នកស្រាវជ្រាវសម្រេចចិត្តផ្សព្វផ្សាយជាសាធារណៈរយៈពេល 3 ខែបន្ទាប់ពីក្រុមហ៊ុន Microsoft បដិសេធថាមិនទទួលស្គាល់ទៅលើបញ្ហានេះជាកំហុសឆ្គងសុវត្ថិភាពនោះទេ។

តើការវាយប្រហារនៅលើ MS Word ដំណើរការយ៉ាងដូចម្តេចទៅ?

ចាប់តាំងពីទិន្នន័យ Word Doc files (.docx) ស្ថិតនៅក្នុងទម្រង់ជា zip packages នៃទិន្នន័យ media and configuration files របស់ខ្លួននោះ វាពិតជាងាយស្រួលនៅក្នុងការបើក និងការកែប្រែបាន។

តាមការបញ្ជាក់របស់ក្រុមអ្នកស្រាវជ្រាវ សម្រាប់ទិន្នន័យ configuration file នេះមានឈ្មោះហៅថា ‘document.xml,’ ដែលគឺជាប្រភេទ default XML file ប្រើប្រាស់នៅក្នុងកម្មវិធី Word និងមានផ្ទុកនូវ generated embedded-video code ដែលអាចធ្វើការកែប្រែនឹងជំនួសទៅលើ video iFrame code ជាមួយនឹង HTML ឬ javascript code ដែលដំណើរការចេញពី Background នោះ។ និយាយខ្លីគឺ អ្នកវាយប្រហារអាចកេងចំណេញពីចំណុចរងគ្រោះនេះដោយជំនួសនូវ YouTube video ដាក់នូវកូដមេរោគវិញដែលអាចប្រតិបត្តិដោយកម្មវិធី Internet Explorer Download Manager បាន។

ក្រុមអ្នកស្រាវជ្រាវ Cymulate ក៏រាយការណ៍អំពីកំហុសឆ្គងនេះដែលប៉ះពាល់ទៅដល់អ្នកប្រើប្រាស់ជាច្រើនជាមួយនឹងកម្មវិធី MS Office 2016 និង versions ដែលទាបជាងនេះសម្រាប់កម្មវិធីផលិតកម្មអស់រយៈពេលជាង 3 ខែមកហើយទៅកាន់ក្រុមហ៊ុន Microsoft ប៉ុន្តែក្រុមហ៊ុននេះបដិសេធមិនទទួលស្គាល់ថានេះគឺជាកំហុសឆ្គងសុវត្ថិភាពនោះទេ។

ក្រុមហ៊ុន Microsoft គ្មានគម្រោងក្នុងការជួសជុលទៅលើបញ្ហានេះនោះទេ ហើយនិយាយថា កម្មវិធី Software របស់ខ្លួនគឺប្រើប្រាស់នូវកូដ HTML យ៉ាងត្រឹមត្រូវ។ ក្រុមអ្នកស្រាវជ្រាវណែនាំអោយអ្នកគ្រប់គ្រងទៅលើសហគ្រាសជាច្រើនធ្វើការបិទនូវឯកសារ Word ទៅលើមុខងារភ្ជាប់ embedded video tag: “embeddedHtml” នៅក្នុង Document.xml file និងជូនដំណឹងអោយអ្នកប្រើប្រាស់កុំបើកនូវ Emails Attachments ដែលមិនស្គាល់ ឬមានការសង្ស័យនោះ៕

ប្រភព៖

https://thehackernews.com/2018/10/microsoft-office-online-video.html

ព័ត៌មានស្រដៀងគ្នាព័ត៌មានផ្សេងៗជាច្រើនទៀត

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

អាមេរិកចោទអ្នកគ្រប់គ្រងសេវា Garantex ពីបទលាងលុយ ដែលជាការបំពានលើទណ្ឌកម្ម

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

បុគ្គលិកម្នាក់ជាប់ចោទពីបទលួច និងចែកចាយខ្សែភាពយន្តដែលមិនទាន់ចាក់បញ្ចាំងលើអនឡាញ

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ការបំពានទិន្នន័យលើក្រុមហ៊ុនទូរគមនាគមន៍យក្សជប៉ុន NTT បណ្តាលឱ្យប៉ះពាល់ដល់ក្រុមហ៊ុន ១៨,០០០

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

ក្រុមហ៊ុន Microsoft រៀបរាប់ពីយុទ្ធនាការផ្សាយពាណិជ្ជកម្មព្យាបាទប៉ះពាល់ដល់កុំព្យូទ័រ ១លានគ្រឿង

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

សួនសត្វ Toronto ចែករំលែកបញ្ហារបស់ខ្លួនស្តីពី ការវាយប្រហារដោយមេរោគចាប់ជម្រិតកាលពីឆ្នាំមុន

ព័ត៌មានសុវត្ថិភាពព័ត៌មានវិទ្យា

YouTube ព្រមានពីវីដេអូដែលបង្កើតដោយ AI ក្លែងជានាយកប្រតិបត្តិរបស់ខ្លួនដែលត្រូវបានប្រើប្រាស់សម្រាប់ការវាយប្រហារបែបឆបោក

LEAVE A REPLY

Please enter your comment!
Please enter your name here