Microsoft załatał właśnie dwa 0-daye wykorzystywane w dziczy. Na Excela i Exchange. Łatajcie!

Podatność e Excelu brzmi dość enigmatycznie: Microsoft Excel Security Feature Bypass Vulnerability.

Doczytując jednak nieco więcej, dowiadujemy się że prawdopodobnie wystarczy otworzyć odpowiednio spreparowany plik Excela, żeby złośliwy kod wykonał się na naszym komputerze:

that could allow attackers to install malicious code just by convincing someone to open a booby-trapped Excel file

Podatność dotyka wszystkich wersji Excela dostarczanych z Microsoft Office 2013 (lub późniejszymi).

Na obecną chwilę Microsoft nie dostarczył jeszcze łatki dla komputerów Mac.

Jeśli mało Was interesują podatności po stronie klienta, to jest też coś ciekawego po stronie serwerowej: Microsoft Exchange Server Remote Code Execution Vulnerability. Tutaj mamy dwie informację: dobrą – wykorzystanie podatności wymaga posiadania konta. Zła wiadomość jest z kolei taka, że podatność (jak zaznaczyliśmy w tytule) jest wykorzystywana już w realnych atakach:

Łatajcie się, a użytkownicy Microsoft Office na MacOS – wyczekujcie łatki.

~Michał Sajdak