В Microsoft Office пропатчили еще одну уязвимость, найденную Check Point

В Microsoft Office пропатчили еще одну уязвимость, найденную Check Point

В Microsoft Office пропатчили еще одну уязвимость, найденную Check Point

Опробуя различные фаззеры, исследователи из Check Point обнаружили четыре уязвимости в компоненте MSGraph, присутствующем во всех наборах Microsoft Office, начиная с версии 2003. Три выявленные бреши разработчик устранил в мае, заплатка для оставшейся включена в июньские обновления для Office.

Программа MSGraph.Chart.8 (graph.exe) встроена как COM-объект во многие офисные приложения Microsoft и используется ими для отображения графиков и схем. Ее код также заимствует Microsoft Graph — API для Microsoft 365.

По свидетельству экспертов, найденные ими уязвимости позволяют злоумышленнику выполнить в системе свой код с помощью вредоносного документа Word, Excel или PowerPoint. Такой файл можно прислать намеченной жертве вложением в письмо либо указать его ссылкой.

Обнаруженным проблемам присвоены следующие идентификаторы:

  • CVE-2021-31179 — удаленное исполнение произвольного кода через порчу памяти (7,8 балла по CVSS);
  • CVE-2021-31174 — чтение за границами буфера, грозящее раскрытием конфиденциальной информации (5,5 балла);
  • CVE-2021-31178 — целочисленное переполнение, влекущее чтение за пределами буфера (5,5 балла);
  • CVE-2021-31939 — возможность использования освобожденной памяти (use-after-free).

Патчи для первых трех уязвимостей вышли в составе майских обновлений для Microsoft Office, четвертую дыру можно будет закрыть в этом месяце.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Компаний в списке для ИТ-ипотеки стало больше — шанс получить льготу вырос

В 2025 году список компаний, сотрудники которых могут воспользоваться ИТ-ипотекой, заметно расширился — теперь в нём более 6 тысяч организаций. Это значит, что больше специалистов смогут оформить льготный кредит на жильё.

Какие компании попали в список

Включили те ИТ-компании, которые в 2024 году пользовались налоговыми льготами и дали ФНС согласие на раскрытие налоговой тайны (по коду 10062). Сделать это нужно было до 20 мая.

Если согласие уже было подано раньше и бессрочно — ничего делать не нужно. А вот если организация не отправила документ вовремя, банк не сможет подтвердить, что её сотрудник работает в нужной компании — и ипотеку по льготной ставке не одобрят.

Важно: новые правила программы не действуют на те кредиты, которые были оформлены до 1 августа 2024 года.

Как проверить, есть ли ваша компания в списке

Очень просто — на Госуслугах есть специальный сервис. Достаточно ввести ИНН или название компании в поиске.

А если моей компании в списке нет?

Свяжитесь с работодателем. Возможно, согласие не подали или сделали это неправильно. Бывает, что вместо нужного кода 10062 использовали код аккредитации 20009 — а это не подойдёт (проверить корректность можно по инструкции (PDF)).

Следующее обновление списка — после 25 сентября, а крайний срок подачи согласий — 20 сентября. Если компания всё успеет — у её сотрудников снова появится возможность воспользоваться ИТ-ипотекой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru