Команда Zero Day Initiative (ZDI) выявила уязвимость в приложении для трехмерного моделирования Microsoft Paint 3D. Злоумышленники могут использовать брешь для выполнения произвольного кода.
Проблеме присвоили идентификатор CVE-2021-31946, а её эксплуатация подразумевает посещение жертвой вредоносной веб-страницы. Также дыру можно использовать с помощью злонамеренного файла.
Суть проблемы кроется в обработке файлов формата STL. В частности, из-за некорректного парсинга возникает возможность чтения за пределами границ. В результате атакующий может запустить код в контексте текущего процесса.
Помимо того, чтобы заставить жертву открыть специальный файл, злоумышленнику придётся связать CVE-2021-31946 с другой уязвимостью, позволяющей повысить права в системе. Только в этом случае эксплуатация позволяет получить полный контроль над целевой системой.
Как отметила сама команда ZDI, в настоящее время нет информации об использовании обнаруженной уязвимости в реальных кибератаках. При этом исследователи уведомили Microsoft о проблеме ещё в феврале.
Разработчики уже подготовили соответствующий патч, который в скором времени будет доступен пользователям в официальном магазине Microsoft Store.