Microsoft lança patch para Office e Paint 3D para impedir ataques 3D

Microsoft lança patch para Office e Paint 3D para impedir ataques 3D. Microsoft Office, Office 365 ProPlus e Paint 3D afetados por vários bugs no software Autodesk 3D.

A Microsoft lançou importantes atualizações de segurança para os produtos Office, Office 365 ProPlus e Paint 3D para corrigir vários bugs recentemente divulgados na biblioteca da Autodesk para o formato de arquivo FBX para animações em 3D. 

Segundo o site ZDNet, as atualizações afetam os produtos da Microsoft que integram a biblioteca Autodesk FBX 3D, que incluem o Microsoft Office 2016 Click-to-Run (C2R) para edições de 32 e 64 bits, o Microsoft Office 2019 para edições de 32 e 64 bits e Office 365 ProPlus para sistemas de 32 e 64 bits, além do Paint 3D. 

Embora as correções sejam classificadas apenas como “importantes” , as vulnerabilidades na biblioteca do Autodesk FBX permitem a execução remota de código nos produtos afetados. No entanto, para explorar os bugs, o atacante enviava às vítimas um arquivo malicioso 3D FBX e as enganava para abri-lo. 

O invasor obteria os mesmos direitos de usuário que o usuário local. A Microsoft observa que contas com menos direitos no sistema podem ser menos afetadas do que aquelas com direitos administrativos. 

A Autodesk, fabricante do software AutoCAD amplamente utilizado, revelou em comunicado que aplicativos e serviços que usam o FBX-SDK versão 2020.0 ou anterior são afetados por e type confusion, use-after-free, integer overflow, NULL pointer dereference e heap overflow vulnerabilities.   

Max Van Amerongen, pesquisador da F-Secure, relatou à Autodesk o CVE-2020-7085, o bug heap overflow vulnerabilities. Ele postou uma demonstração em vídeo de sua exploração de prova de conceito para o bug no Twitter. 

Os bugs afetaram vários outros produtos da Autodesk, incluindo AutoCAD, Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Infraworks e Navisworks.  

Fonte ZDNet & AutoDesk 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Hackers exploram Zero Day em Firewalls do Sophos XG

Deixe sua opinião!