找回密码
 创建账号

QQ登录

只需一步,快速开始

查看: 1853|回复: 0

[新闻快讯] 微软发布带外Office和Paint 3D安全更新,阻止3D图形攻击

[复制链接]
  • TA的每日心情
    擦汗
    2020-8-29 17:33
  • 签到天数: 32 天

    连续签到: 1 天

    [LV.5]三尾狐

    发表于 2020-4-22 19:28:47 | 显示全部楼层 |阅读模式

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有账号?创建账号

    ×
    微软发布了针对Office、Office 365 ProPlus和Paint 3D产品的重要安全更新,以解决欧特克针对3D动画的FBX文件格式库中新披露的多个BUG。

    这些更新影响到集成了Autodesk FBX 3D库的微软产品,其中包括32位和64位版本的Microsoft Office 2016 Click-to-Run (C2R)、32位和64位版本的Microsoft Office 2019、32位和64位系统的Office 365 ProPlus以及Paint 3D。

    虽然修复措施仅被评为 "重要",但Autodesk FBX库中的漏洞确实允许在受影响产品上执行远程代码。

    然而,为了利用该漏洞,攻击者会向受害者发送一个恶意的 3D FBX 文件,并诱使他们打开该文件。

    然后攻击者将获得与本地用户相同的用户权限。微软指出,与拥有管理权限的用户相比,系统中权限较少的账户可能受影响较小。

    广泛使用的AutoCAD软件的制造商Autodesk在上周三的一份公告中透露,使用FBX-SDK 2020.0版本或更早版本的应用程序和服务受到缓冲区溢出、类型混乱、使用后免费、整数溢出、NULL指针去掉、堆溢出漏洞等漏洞的影响。  

    这些漏洞被追踪为CVE-2020-7080、CVE-2020-7081、CVE-2020-7082、CVE-2020-7082、CVE-2020-7083、CVE-2020-7084和CVE-2020-7085。

    F-Secure研究员Max Van Amerongen向Autodesk报告了CVE-2020-7085,即堆溢出Bug。他在Twitter上发布了一段视频,展示了他对该bug的概念验证漏洞的利用。

    My Autodesk FBX Heap Overflow (CVE-2020-7085) has now been disclosed at https://t.co/jvumWcCZE7

    Works on FBX SDK < 2019.5

    PoC video from disclosure: pic.twitter.com/vayCIomgaP

    — maxpl0it (@maxpl0it) April 17, 2020


    这些漏洞影响了其他几个Autodesk的产品,包括AutoCAD、Maya、Motion Builder、Mudbox、3ds Max、Fusion、Revit、Infraworks和Navisworks。

    Autodesk还感谢微软安全响应中心漏洞和缓解团队的合作。

    您需要登录后才可以回帖 登录 | 创建账号

    本版积分规则

    Archiver|手机版|小黑屋|iYa.App 软件交流社区

    GMT+8, 2024-11-24 07:14 , Processed in 0.018439 second(s), 18 queries .

    Powered by Discuz! X3.5

    © 2001-2024 Discuz! Team.

    快速回复 返回顶部 返回列表