压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

在2020年4月補(bǔ)丁星期二之后的一周，微軟又“增發(fā)”了其Office套件的安全更新，以修復(fù)幾個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。

值得注意的是，微軟Windows操作系統(tǒng)中用于創(chuàng)建3D模型的免費(fèi)應(yīng)用程序Paint 3D也發(fā)布了安全更新，因?yàn)镻aint 3D和Office“共享”了存在漏洞的Autodesk FBX庫(kù)。

關(guān)于漏洞

Autodesk是流行的AutoCAD軟件的開(kāi)發(fā)公司，產(chǎn)品被建筑師，工程師，數(shù)字媒體創(chuàng)作者，制造商等廣泛使用，近日Autodesk一口氣修復(fù)了FBX軟件開(kāi)發(fā)人員工具包（SDK）的六個(gè)漏洞（CVE-2020-7080至CVE-2020-7085）。

如果用戶(hù)受騙打開(kāi)特制的惡意FBX文件，攻擊者可以創(chuàng)建DoS攻擊條件或使應(yīng)用程序在底層系統(tǒng)上執(zhí)行任意代碼。

由于Autodesk FBX庫(kù)已集成到MS Office應(yīng)用程序和Paint 3D應(yīng)用程序中，因此用它們處理特制的3D內(nèi)容可能會(huì)導(dǎo)致遠(yuǎn)程執(zhí)行代碼。

成功利用這些漏洞的攻擊者可以獲得與本地用戶(hù)相同的用戶(hù)權(quán)限?！澳切?quán)限較低的用戶(hù)帳戶(hù)比以管理用戶(hù)權(quán)限受影響小，”微軟解釋。

如何緩解？

要利用這些漏洞，攻擊者必須將包含3D內(nèi)容的特制文件發(fā)送給用戶(hù)，并說(shuō)服他們打開(kāi)它。（僅通過(guò)預(yù)覽窗格查看它不足以觸發(fā)漏洞利用。）

由于漏洞利用需要用戶(hù)交互，因此該漏洞的危險(xiǎn)性還沒(méi)有達(dá)到“critical“的級(jí)別。但不幸的是，誘騙用戶(hù)打開(kāi)隨機(jī)文件是攻擊者的“基本操作“。

該漏洞目前沒(méi)有緩解或變通辦法，因此強(qiáng)烈建議用戶(hù)和管理員盡快進(jìn)行系統(tǒng)更新，尤其是對(duì)于哪些需要經(jīng)常處理FBX文件的用戶(hù)。