Microsoft Office Word’de yakın zamanda keşfedilen bir güvenlik açığı, popüler üretkenlik paketinin güvenliği konusunda endişelere yol açtı.
Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı olarak sınıflandırılan bu güvenlik açığı, saldırganların bir Word belgesi içinde rastgele JavaScript kodu çalıştırmasına olanak tanıyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
XSS Güvenlik Açığı
Microsoft Word de dahil olmak üzere çeşitli Office ürünleri, kullanıcıların “Çevrimiçi Videolar” sekmesi aracılığıyla harici videoları belgelere eklemesine olanak tanıyan bir özellik sunar.
Kullanıcı bir belgeye katıştırılmış harici bir videoyu oynatmaya çalıştığında Office, harici videonun kaynağının güvenilir olup olmadığını denetler.
Bu kontrol, videonun URL’sine YouTube gibi güvenilir kaynakları içeren bir normal ifadenin uygulanmasını içerir.
Kaynağın güvenilir görülmesi durumunda Ofis, videonun başlığı veya küçük resmi gibi verilerin getirilmesini talep eder. Ancak güvenlik açığı, Office’in HTML iframe etiketi içindeki video başlığını işleme biçiminde ortaya çıkıyor.
Sunucu, videonun başlığı, açıklaması ve HTML iframe etiketi dahil olmak üzere bilgilerle yanıt verir.
Sorun, sunucunun videonun başlığını uygun doğrulama olmadan iframe etiketinin “başlık” özelliğine eklemesidir.
Sonuç olarak, saldırganlar bir “boşaltma” özelliği ekleyerek iframe etiketini manipüle edebilir ve böylece isteğe bağlı JavaScript kodu enjekte edebilirler.
Sömürü
PKsecurity raporuna göre, bir saldırgan bu güvenlik açığından yararlanmak için “onload” özelliğini eklemek için bir yük içeren başlıklı bir YouTube videosu oluşturabilir.
Daha sonra Çevrimiçi Videolar sekmesini kullanarak bu kötü amaçlı videonun URL’sini bir Word belgesine eklerler. Video oynatıldığında enjekte edilen JavaScript kodu yürütülür.
Bir saldırganın bu kusurdan yararlanmak için atacağı adımların basitleştirilmiş bir özetini burada bulabilirsiniz:
- Başlığında bir yük bulunan bir YouTube videosu oluşturun.
- Kötü amaçlı videonun URL’sini bir Word belgesine ekleyin.
- Kötü amaçlı JavaScript kodu sunacak bir web sunucusu kurun.
Çıkarımlar
Bu güvenlik açığı, saldırganların Word belgesine gömülü bir video oynatıldığında rastgele JavaScript kodu yürütmesine olanak tanır.
Hemen endişe verici görünmese de, Office uygulamalarındaki geçmişteki kritik istismarların genellikle rastgele JavaScript’in çalıştırılmasıyla başladığını belirtmekte fayda var.
Bu güvenlik açığından yararlanılması, güvenlik açığı bulunan yeni bir Tekdüzen Kaynak Tanımlayıcısı (URI) ile birleştirildiğinde kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığına yol açabilir.
Bu, Microsoft’un bu sorunu derhal ele alması ve düzeltme eki koymasını çok önemli kılmaktadır. Microsoft Office XSS hatası, yazılımı güncel tutmanın ve belgelere gömülü içerik konusunda dikkatli olmanın önemini vurguluyor.
Kullanıcılar, özellikle güvenilmeyen kaynaklardan gelen video içeriğiyle ilişkili potansiyel güvenlik risklerinin farkında olmalıdır.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.