聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

本周,微软发布一个带外安全公告,解决 OfficeOffice 365 Paint 3D 中的多个 Autodesk FBX 漏洞。

本月早些时候解决的Autodesk FBX 软件开发包(SDK) 中的多个漏洞可导致代码执行和拒绝服务条件。

Autodesk解释称,所有使用 FBX-SDK Ver.2020.0 或更早版本的应用程序和服务可遭“缓冲区溢出、类型混淆、释放后使用、整数溢出、空指针解引用和堆溢出漏洞”影响。

已解决的漏洞编号是CVE-2020-7080(可导致代码执行)、CVE-2020-7081(可导致代码执行或拒绝服务)、CVE-2020-7082(代码执行)、CVE-2020-7083(拒绝服务)、CVE-2020-7084(拒绝服务)和CVE-2020-7085(代码执行)。

微软指出,在某些产品中使用Autodesk FBX 库可导致远程代码执行漏洞,当处理特殊构造的3D 内容时可被触发。

微软指出,能够利用这些bug 的攻击者能够获取和当地用户权限相同的权限。攻击者需要向用户发送包含3D 内容的特殊构造的文件并诱骗他们打开文件才能利用这些漏洞。

微软在公告中指出,“这些安全更新通过更正微软软件处理3D 内容的方式修复了这些漏洞。”

目前尚不存在缓解因素或应变措施。

Tenable公司的研究工程师 Ryan Seguin 评论称,“微软将其标记为一个远程代码执行漏洞,然而,需要注意到该漏洞要求用户打开恶意文件,而这并非远程执行。”他表示,“有人可能会问到微软Office 如何易受 Autodesk 漏洞影响,实际上这并不说明微软的安全实践糟糕,这类漏洞很好地说明了集成其它组的工具和代码意味着同时将其漏洞也集成到了自己的产品中,在本例中是MS Office、Office365 ProPlus 和Paint 3D。”

尽管该带外安全公告在本周已发布,但补丁或将在5月补丁星期二发布。

推荐阅读

微软拒绝修复滥用 MSTSC 的安全绕过缺陷

奇安信代码卫士帮助微软修复多个高危漏洞,获官方致谢和奖金

原文链接

https://www.securityweek.com/microsoft-out-band-advisory-addresses-autodesk-fbx-vulnerabilities

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ,加油鸭~

微软发布 Autodesk FBX 漏洞带外安全公告,将于5月推出补丁相关推荐

  1. 微软发布.Net Core 3.0 RC1,最终版本定于9月23日

    2019.9.17 微软 宣布推出.NET Core 3.0 Release Candidate 1.就像Preview 9一样,主要专注于为 .NET Core 3.0 发布最终版本 .现在变得非常 ...

  2. 12月第四周安全回顾:双节期间微软忙补新漏洞,新Hash将测试

    本文同时发表在:[url]http://netsecurity.51cto.com/art/200901/104600.htm[/url] 本周(081222至081228)安全业界放假不放松,由于本 ...

  3. 微软发布Lumia系列手机是绝地反击之战

    微软发布Lumia系列手机是绝地反击之战 今天,10月6日,北京时间晚上10点,微软新一代智能手机Lumia系列就要正式发布了.这个"时间点",意味着什么? 回顾过去这5年来,在全 ...

  4. 157 亿美元 !Salesforce 收购 Tableau !微软发布警告,表明黑客利用Office漏洞发动垃圾邮件攻击……...

    关注并标星星CSDN云计算 极客头条:速递.最新.绝对有料.这里有企业新动.这里有业界要闻,打起十二分精神,紧跟fashion你可以的! 每周三次,打卡即read 更快.更全了解泛云圈精彩news g ...

  5. 微软发布警告:黑客利用Office漏洞发动垃圾邮件攻击

    点击上方"民工哥技术之路"选择"置顶或星标" 每天10点为你分享不一样的干货 原文:http://tech.qq.com/a/20190610/001746.h ...

  6. 微软发布紧急更新:修复Flash高危漏洞

    微软发布紧急更新:修复Flash高危漏洞 正在被加速替代的Flash Player再度曝出高危漏洞,微软对此进行了紧急修复,并已经开始为Windows用户推送了相关补丁. 昨日,Adobe公司宣布Fl ...

  7. 微软发布关于 Surface Pro 3 TPM 绕过漏洞的安全公告

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软发布了关于安全特性绕过漏洞 (CVE-2021-42299) 的安全公告.该漏洞影响 Surface Pro 3 平板电脑,可使威胁行动者在 ...

  8. 【更新】本地提权工具公开|CVE-2020-0796:微软发布SMBv3协议“蠕虫级”漏洞补丁通告

    [更新]本地提权工具公开|CVE-2020-0796:微软发布SMBv3协议"蠕虫级"漏洞补丁通告 360-CERT [360CERT](javascript:void(0)

  9. 微软流媒体服务器补丁,创今年之最 微软发布16个补丁修复49处漏洞

    微软发布了10月份例行补丁,此次发布的安全补丁数量和修复的安全漏洞数量都创下了今年之最,共有16个安全补丁,修复49个安全漏洞.在本次发布的16个补丁中,4个为最高的严重级别,修复了影响Windows ...

最新文章

  1. 用JQuery模仿淘宝的图片显示效果
  2. golang 代码实现 修改配置文件
  3. NeHe教程Qt实现——lesson13
  4. 产品网络推广方案之有哪些方法可以更好地优化404页面?
  5. eureka的自我保护
  6. poj 2482 Stars in Your Window (线段树扫描线)
  7. mac上使用zsh配置环境变量
  8. 第二章 数据结构(一)
  9. 必应输入法(桌面版)软件分析和用户需求调查
  10. 漫画:优秀程序员的必备特质有哪些?
  11. Qnap NAS + Emby Server + Kodi
  12. moss2007安装部署历程 .
  13. unimrcpserver的MRCP消息处理
  14. 阴阳师手游如何用云手机无限多开换IP防封
  15. 用php照片艺术化,Lab:照片艺术化调色处理介绍
  16. Python绘图笔记
  17. 【调试】——idea远程调试服务器上的代码
  18. 分享一款快速、免费抠图工具——凡科快图
  19. linux 回到用户主目录,linux中用户的主目录~
  20. 微前端在平台级管理系统中的最佳实践

热门文章

  1. java B2B2C Springcloud仿淘宝电子商城系统
  2. Unity 可重复随机数
  3. JQuery判断radio是否选中并获取选中值的示例代码
  4. Arcgis Engine 添加一个Symbol符号样式步骤
  5. 开源云平台 CloudStack 4.1.0 安装详解 - 3、vCenter
  6. 免费送《你的知识需要管理》签名书活动,秒杀
  7. ACCESS的十种数据类型分别对应的添加语句
  8. 2020年最好用的手机是哪一款_2020,哪款5G手机最值得入手?
  9. qc是什么职位_质量管理部门该干什么?又该怎么干?
  10. cocos2D中实现滑动菜单CCScrollView+CCMenu效果,(注意不是cocos2D-x)!!