В Microsoft Office пропатчили еще одну уязвимость, найденную Check Point

В Microsoft Office пропатчили еще одну уязвимость, найденную Check Point

В Microsoft Office пропатчили еще одну уязвимость, найденную Check Point

Опробуя различные фаззеры, исследователи из Check Point обнаружили четыре уязвимости в компоненте MSGraph, присутствующем во всех наборах Microsoft Office, начиная с версии 2003. Три выявленные бреши разработчик устранил в мае, заплатка для оставшейся включена в июньские обновления для Office.

Программа MSGraph.Chart.8 (graph.exe) встроена как COM-объект во многие офисные приложения Microsoft и используется ими для отображения графиков и схем. Ее код также заимствует Microsoft Graph — API для Microsoft 365.

По свидетельству экспертов, найденные ими уязвимости позволяют злоумышленнику выполнить в системе свой код с помощью вредоносного документа Word, Excel или PowerPoint. Такой файл можно прислать намеченной жертве вложением в письмо либо указать его ссылкой.

Обнаруженным проблемам присвоены следующие идентификаторы:

  • CVE-2021-31179 — удаленное исполнение произвольного кода через порчу памяти (7,8 балла по CVSS);
  • CVE-2021-31174 — чтение за границами буфера, грозящее раскрытием конфиденциальной информации (5,5 балла);
  • CVE-2021-31178 — целочисленное переполнение, влекущее чтение за пределами буфера (5,5 балла);
  • CVE-2021-31939 — возможность использования освобожденной памяти (use-after-free).

Патчи для первых трех уязвимостей вышли в составе майских обновлений для Microsoft Office, четвертую дыру можно будет закрыть в этом месяце.

Импортозамещение на шильдиках: китайские ноутбуки выдали за российские

Мособлсуд оставил в силе решение о взыскании почти 370 млн рублей с фигурантов дела о поставках Минобороны китайской техники под видом российской. История тянется с 2016 года. Тогда ведомство заключило контракт на 367,1 млн рублей с ООО «Антей».

По документам компания должна была поставить отечественную технику для работы со служебной информацией.

В итоге в 33 военные организации, включая академии, училища и учебные центры, отправили более 102 тыс. USB-накопителей и 3142 ноутбука.

Вот только российскими они оказались в основном на бумаге, как выяснил «КомерсантЪ».

По версии следствия, технику закупали в Китае через посредников, а уже в России доводили до нужного патриотического вида: устанавливали специальную операционную систему, прикладывали фиктивную документацию, наносили лазерную гравировку «МО» и клеили шильдики «ДЕПО Электроникс».

ФСБ установила, что поставленная продукция не соответствовала условиям контракта и была произведена в Китае. Иными словами, импортной технике устроили быстрый ребрендинг и отправили в войска как отечественную.

Организатором схемы следствие считает владельца DEPO Computers Сергея Эскина. По данным правоохранителей, собственных мощностей для исполнения контракта у него не было, а целью сделки было хищение бюджетных средств.

Сам Эскин находится за границей, объявлен в международный розыск и заочно арестован. До суда дошли десять других фигурантов, включая руководителей и сотрудников связанных компаний. Они получили от пяти до семи лет колонии, позднее троим наказание снизили до трех лет.

Теперь к уголовным срокам добавился и счет: Минобороны добилось взыскания всей суммы ущерба. Получился дорогой урок импортозамещения — китайская техника, российская гравировка и почти 370 млн рублей на выходе.

RSS: Новости на портале Anti-Malware.ru