Digital Security исследовала безопасность компонентов Microsoft Office

Олег Иванов 05 Июня 2018 - 15:07

Системы для анализа защищенности информационных систем

...

Digital Security исследовала безопасность компонентов Microsoft Office

Специалисты исследовательского центра компании Digital Security, специализирующейся на анализе защищенности ИТ-систем, провели анализ безопасности компонентов пакета офисных приложений Microsoft Office (далее «Microsoft Office») с целью повышения компетентности внутренних служб безопасности компаний и обычных пользователей. Данный пакет программ был выбран потому, что он де-факто является стандартом для офисного ПО, и в последнее время все чаще его компоненты становятся «дырой» в корпоративную инфраструктуру.

Были исследованы основные компоненты ПО «Microsoft Office», включая Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Outlook и Microsoft Access. Проанализировав различные компоненты «Microsoft Office», исследователи Digital Security выделили несколько векторов атак на данное ПО: «двоичные» уязвимости; устаревший унаследованный код; встраивание COM-объектов (OLE, ActiveX) – перенос уязвимостей других компонентов в приложения «Microsoft Office»; логические/архитектурные ошибки; возможности социальной инженерии (наиболее часто используемый вектор).

В рамках проекта был проведен анализ внутреннего устройства ПО, архитектурных особенностей, технологий и их недостатков. Исследование велось по нескольким направлениям, были рассмотрены следующие ключевые блоки «Microsoft Office»: закрытые технологии, COM-технологии, расширения (включая приложения, манифесты установок расширений VSTO-basedAdd-ins и т.д.), централизованное конфигурирование и администрирование, определение векторов атаки на приложения/компоненты «Microsoft Office».

Для продуктов компании «Microsoft» актуальна такая проблема, как использование давно разработанных, зачастую устаревших технологий и неизменного программного кода. Закрытость кода и форматов создает сложности не только для исследователей безопасности, но и для производителя, в результате чего многие уязвимости обнаруживаются и исправляются со значительными задержками.

В рамках исследования выяснилось, что ПО «MS Оffice» содержит ряд недочетов и ошибок, которые делают его использование небезопасным.

По итогам работ, был подготовлен цикл статей для ресурса Хабрахабр, в котором подробно рассказывается о ключевых направлениях исследования. Первая часть носит название «Закрытые форматы данных», в ней идет речь о форматах данных, шифровании и получении символов. С этим материалом можно ознакомиться по ссылке: https://habr.com/company/dsec/blog/349450/.

Вторая часть будет посвящена СОM-технологиям (фокус на автоматизацию, внутренние и внешние скрипты MS Office), она увидит свет в течение месяца. И, наконец, третья часть расскажет об администрировании, а также расширениях и телеметрии.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Марта 2026 - 11:42

macOS iOS Уязвимости программ Домашние пользователи Корпорации Apple

Apple выпустила первые фоновые патчи для iPhone, iPad и macOS

Apple начала разворачивать новый формат небольших фоновых обновлений безопасности для iPhone, iPad и macOS. На этот раз патч закрывает уязвимость в WebKit, движке Safari, из-за которой вредоносный сайт теоретически мог обойти политику Same Origin и получить доступ к данным с другого сайта в рамках той же браузерной сессии.

По сути, речь идёт о более лёгком механизме доставки важных исправлений между обычными крупными обновлениями системы.

Apple объясняет, что такие патчи предназначены для компонентов вроде Safari, WebKit и других системных библиотек, которым иногда нужны быстрые точечные заплатки без ожидания следующего большого релиза. Эта схема поддерживается на устройствах с iOS 26.1, iPadOS 26.1 и macOS 26.1 и новее.

Нынешний набор вышел 17 марта 2026 года и распространяется как версия iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) и macOS 26.3.2 (a). В списке исправленных компонентов указан только WebKit. Apple присвоила уязвимости идентификатор CVE-2026-20643 и уточнила, что проблема была связана с ошибкой cross-origin в Navigation API, которую исправили за счёт улучшенной проверки входящих данных.

Для пользователя всё это должно выглядеть заметно проще, чем обычное системное обновление. Apple отдельно пишет, что такие патчи активируются после перезапуска, но при этом не требуют полного «тяжёлого» процесса обновления ОС. На macOS доставленные таким способом апдейты вообще могут начать работать сразу после перезапуска самого браузера, ещё до полной перезагрузки системы.

Найти эту функцию можно в разделе «Конфиденциальность и безопасность»: там есть отдельный пункт «Улучшения безопасности в фоновом режиме». Если его отключить, устройство не будет получать такие патчи до тех пор, пока они не войдут в состав следующего обычного обновления ОС.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!