Microsoft lança patch para Office e Paint 3D para impedir ataques 3D

Microsoft lança patch para Office e Paint 3D para impedir ataques 3D. Microsoft Office, Office 365 ProPlus e Paint 3D afetados por vários bugs no software Autodesk 3D.

A Microsoft lançou importantes atualizações de segurança para os produtos Office, Office 365 ProPlus e Paint 3D para corrigir vários bugs recentemente divulgados na biblioteca da Autodesk para o formato de arquivo FBX para animações em 3D. 

Segundo o site ZDNet, as atualizações afetam os produtos da Microsoft que integram a biblioteca Autodesk FBX 3D, que incluem o Microsoft Office 2016 Click-to-Run (C2R) para edições de 32 e 64 bits, o Microsoft Office 2019 para edições de 32 e 64 bits e Office 365 ProPlus para sistemas de 32 e 64 bits, além do Paint 3D. 

Embora as correções sejam classificadas apenas como “importantes” , as vulnerabilidades na biblioteca do Autodesk FBX permitem a execução remota de código nos produtos afetados. No entanto, para explorar os bugs, o atacante enviava às vítimas um arquivo malicioso 3D FBX e as enganava para abri-lo. 

O invasor obteria os mesmos direitos de usuário que o usuário local. A Microsoft observa que contas com menos direitos no sistema podem ser menos afetadas do que aquelas com direitos administrativos. 

A Autodesk, fabricante do software AutoCAD amplamente utilizado, revelou em comunicado que aplicativos e serviços que usam o FBX-SDK versão 2020.0 ou anterior são afetados por e type confusion, use-after-free, integer overflow, NULL pointer dereference e heap overflow vulnerabilities.   

Max Van Amerongen, pesquisador da F-Secure, relatou à Autodesk o CVE-2020-7085, o bug heap overflow vulnerabilities. Ele postou uma demonstração em vídeo de sua exploração de prova de conceito para o bug no Twitter. 

My Autodesk FBX Heap Overflow (CVE-2020-7085) has now been disclosed at https://t.co/jvumWcCZE7

Works on FBX SDK < 2019.5

PoC video from disclosure: pic.twitter.com/vayCIomgaP

— maxpl0it (@maxpl0it) April 17, 2020

Os bugs afetaram vários outros produtos da Autodesk, incluindo AutoCAD, Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Infraworks e Navisworks.  

Fonte ZDNet & AutoDesk 

Veja também:

• Malware TrickMo bypassa 2FA em dispositivos Android
• Malware Android sequestra contas do Facebook
• Guardicore explica vulnerabilidade nível 10.0 da VMware
• Mais de 500.000 contas Zoom vendidas em fóruns de hackers na dark web
• Hackers atacam EDP e pedem resgate de 10 Milhões de Euros
• Liberação do Home Office gera obrigação de documentação e contratos
• Live: Proteção de Endpoints Rápida, Simples e em Larga Escala
• Erros de funcionários são responsáveis por 54% das ameaças a dados confidenciais das empresas
• Linux sob ataque a mais de uma década!
• Falha grave no Exchange ainda afeta mais de 350 mil servidores
• Accenture adquire startup de segurança cibernética Revolutionary Security
• Backdoor em aplicativos Android disponíveis para Download