Во вторник, 14.11.2017 г. исследователи обнародовали данные об обнаруженной серьезной уязвимости в пакете офисного программного обеспечения Microsoft Office. Уязвимость, получившая идентификатор CVE-2017-11882, затрагивает редактор формул Microsoft (Microsoft Equation Editor — EQNEDT32.EXE), представляющий собой один из исполняемых файлов, установленных на компьютерах пользователей с пакетом Microsoft Office. Этот инструмент, позволяет пользователям вставлять математические уравнения в документы как динамические OLE-объекты.
С помощью найденной уязвимости можно выполнить произвольную последовательность команд по загрузке произвольного файла и его запуску.
Особого внимания заслуживает тот факт, что уязвимость применима ко всем типам архитектур (32-разрядных и 64-разрядных), не прерывает работы Microsoft Office и не требует взаимодействия с пользователем.
Несмотря на то, что в Microsoft Office 2007 уязвимый компонент был заменен новой версией, старая версия все равно сохранялась в составе Microsoft Office, чтобы пользователи имели возможность работы с документами, созданными с использованием предыдущих версий программ. Старая версия EQNEDT32.EXE использует устаревшие библиотеки и не использует последние функции безопасности, добавленные в операционную систему Windows.
Специалисты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют всем пользователям операционных систем Windows и пакета Microsoft Office оперативно установить актуальное обновление безопасности, выпущенное производителем данного программного обеспечения. Загружать обновления необходимо только с официального сайта производителя.