นักวิจัยจาก Cymulate พบบั๊กร้ายแรงที่ยังไม่มีแพทช์ออกมาให้อุดช่องโหว่บน Microsoft Office 2016 หรือรุ่นเก่ากว่า ซึ่งเปิดให้ผู้โจมตีสามารถฝังโค้ดอันตรายภายในไฟล์เอกสาร พร้อมหลอกให้ผู้ใช้รันมัลแวร์บนคอมพิวเตอร์ของตัวเอง
ช่องโหว่นี้เป็นส่วนของออปชั่น “Online Video” ที่เป็นฟีเจอร์สำหรับให้ผู้ใช้ฝังวิดีโอที่อยู่บนออนไลน์ด้วยการใส่ลิงค์ เช่น วิดีโอบนยูทูป ซึ่งเวลาที่ผู้ใช้ใส่ลิงค์วิดีโอดังกล่าวในเอกสารเวิร์ด ฟีเจอร์นี้ก็จะสร้างสคริปต์ HTML ฝังไว้ให้อัตโนมัติ ซึ่งจะรันการทำงานเมื่อผู้ใช้คลิกที่ภาพตัวอย่างในเอกสาร
เนื่องจากลักษณะของไฟล์เวิร์ดสกุล .docx จริงๆ แล้วเป็นเหมือนแพ็กเกจที่รวมเอาข้อมูลหลายอย่างทั้งมีเดียและการตั้งค่าต่างๆ มัดรวมอยู่ด้วยกันเหมือนไฟล์ Zip เพื่อทำให้ง่ายต่อการเปิดดูหรือแก้ไข ซึ่งไฟล์การตั้งค่าโดยดีฟอลต์ที่ชื่อ “document.xml” ที่เวิร์ดนำโค้ดการฝังวิดีโอแบบ iFrameมาใช้นั้น สามารถถูกแก้ไขให้เป็นโค้ด HTML หรือจาวาสคริปต์อื่นที่ผู้โจมตีต้องการให้รันโค้ดอยู่เบื้องหลังได้
ประเด็นคือหลังจากไมโครซอฟท์ได้รับข้อมูลจากนักวิจัยมาแล้วกว่าสามเดือน แต่กลับไม่ได้ออกมายอมรับหรือหาวิธีแก้ไขอย่างจริงจัง ทำให้เขาตัดสินใจเปิดเผยรายละเอียดช่องโหว่ด้านความปลอดภัยนี้แก่สาธารณะ ขณะที่ไมโครซอฟท์ออกมากล่าวแค่ว่าซอฟต์แวร์ของตัวเองนั้นยังทำงานเป็นปกติ ซึ่งทางนักวิจัยแนะนำให้แอดมินขององค์กรต่างๆ บล็อกไฟล์เวิร์ดที่ฝังแท๊กวิดีโอ “embeddedHtml” ไฟล์ Document.xml และแนะให้ผู้ใช้ไม่เปิดไฟล์แนบจากแหล่งที่มาที่ไม่ชัดเจน
ที่มา : Thehackernews
