Microsoft 365'teki 100'den Fazla Vuln SketchUp 3D Kitaplığına Bağlı - Dünyadan Güncel Teknoloji Haberleri

Microsoft 365'teki 100'den Fazla Vuln SketchUp 3D Kitaplığına Bağlı - Dünyadan Güncel Teknoloji Haberleri
Microsoft, güvenlik açıklarını önemli önem derecesine sahip olarak değerlendirdi; bu düzey genellikle iyileştirme önceliği açısından kritik önem derecesine sahip hatalardan bir kademe daha düşüktür

‘Önemli’ Etiketli En Son CVE’ler

CVE-2023-28285, CVE-2023-29344 ve CVE-2023-3314’ün tümü, tıpkı ZDI’nın geçen Aralık ayında keşfettiği hatalar gibi, SketchUp ( Daha önce SketchUp dosyasından eklenen Office belgelerindeki 3B modeller, ekleme sırasında Dosyaya Bağlantı seçeneği seçilmediği sürece beklendiği gibi çalışmaya devam edecektir “Bu özelliğin etkin olduğu Office sürümleri artık erişime sahip olmayacak [to] BT Diğer formatlar arasında İkili GL İletim Formatı (* SketchUp ilk olarak 2000 yılında @Last Software tarafından geliştirildi, 2006 yılında Google’a geçti ve şu anda Trimble Navigasyon’a ait Güvenlik araştırmacısı, işlevselliğe tersine mühendislik uygulanmasının, yazılımda yararlanılabilecek çeşitli sorunların keşfedilmesine yol açtığını söyledi

Microsoft, Microsoft 365’teki SketchUp desteğinin mevcut durumuna ilişkin açıklama isteyen bir talebe hemen yanıt vermedi Ancak ThreatLabz araştırmacıları düzeltmeler için bir bypass geliştirmeyi başardılar ve Microsoft’un Haziran 2023’te SketchUp desteğini devre dışı bırakmasına neden oldu

Microsoft, hatalar için toplu olarak üç CVE tanımlayıcısı atadı: CVE-2023-28285, CVE-2023-29344Ve CVE-2023-33146 – ve Mayıs ve Haziran güvenlik güncellemelerinde onlar için yamalar yayınladı



Microsoft’un Haziran 2022’de SketchUp 3D Kütüphanesi için Microsoft 365’e destek ekleme hamlesi, şirketin bulut tabanlı üretkenlik ve işbirliği araçları paketinde çok sayıda güvenlik açığını ortaya çıkarmış gibi görünüyor

SketchUp, Microsoft 365 kullanıcılarının 3D dosyaları Word, Excel, Outlook ve PowerPoint’in Windows ve Mac sürümlerine eklemek için seçebileceği yedi formattan en yaygın kullanılanlarından biridir Zscaler’in ThreatLabz araştırmasını ve ardından bu yılın başlarında yeni bir dizi hatanın keşfedilmesini sağlayan ZDI’nın araştırmasıydı

Microsoft, 1 Haziran 2023 tarihli bir açıklamasında “Windows ve Mac için Word, Excel, PowerPoint ve Outlook’ta SketchUp grafikleri ( Şirket o dönemde devre dışı bırakmayı geçici bir önlem olarak tanımlamış olsa da SketchUp desteği Microsoft 365’te devre dışı kalmaya devam edecek gibi görünüyor glb); Film Kutusu Formatı (*

Geçtiğimiz Aralık ayında, Trend Micro’nun Sıfır Gün Girişimi’nden (ZDI) araştırmacılar, Microsoft 365’te SketchUp dosya ayrıştırmasıyla ilgili dört yüksek önem dereceli uzaktan kod yürütme hatasını açıkladılar

Bunun en son kanıtı bir bu hafta rapor ver ZScaler’ın ThreatLabz’ından, güvenlik satıcısının, teknolojiyi araştırdıktan sadece üç ay sonra SketchUp aracılığıyla Microsoft 365’te 117’ye kadar benzersiz güvenlik açığını keşfetmesiyle ilgili



siber-1

Lu, bu haftaki güvenlik açıklarını keşfetmeyle ilgili blogunda, “Özellikle, Microsoft’un bir SKP dosyasını ayrıştırma işlevini uygulamak için bir dizi SketchUp C API’sinden yararlandığını keşfettik” dedi ” Microsoft 365, satıcının Office uygulamalarını içerir fbx); Nesne Formatı (* SketchUp’ta güncelleme skp) dosya ayrıştırmasına bağlı uzaktan kod yürütme hatalarıdır

Güvenlik tedarikçisinin kıdemli araştırmacısı Kai Lu’ya göre Zscaler ThreatLabz araştırmacıları, Microsoft 365 uygulamalarındaki 3D dosya formatlarını ayrıştırmaktan sorumlu bir dinamik bağlantı kitaplığını analiz ederken SketchUp ile ilgili 117 güvenlik açığını keşfetti obj); ve Çokgen Formatı (* skp dosyaları) ekleme özelliği geçici olarak devre dışı bırakıldı” dedi Şirket, üç güvenlik açığı kümesinin tamamını, bir saldırganın yalnızca potansiyel kurbanları kötü amaçlı dosyalar çalıştırmaları için kandırarak yararlanabileceği sorunlar olarak tanımladı ply)