در عصر دانایی با دانا خبر      دانایی؛ توانایی است      توانا بود هرکه دانا بود               ز دانش دل پیر برنا بود      دانا خبر نخستین سایت مرجع علمی - آموزشی در ایران      دانا خبر گزارشگر هر تحول علمی در ایران و جهان      دانایی محوری زیربنای توسعه و پیشرفت ایران اسلامی      دانایی کلید موفقیت در هزاره سوم      گزارش کامل هر تحول علمی را در دانا خبر ببینید      
جمعه ۰۶ ارديبهشت ۱۳۹۸ - 2019 April 26
کد خبر: ۱۲۳۵۴۵۲
تاریخ انتشار: ۱۴ آبان ۱۳۹۷ - ۱۰:۱۳
نسخه چاپی
ارسال به دوستان
ذخیره فایل
محققان آسیب‌پذیری وصله‌نشده‌ای را در ویژگی «Online Video» مایکروسافت کشف کرده‌اند که به مهاجمان، امکان ارسال فایل‌های مخرب را به سیستم قربانی می‌دهد.
به گزارش خبرگزاری دانا به نقل از مرکز ماهر، این اشکال هنگامی رخ می‌دهد که کاربر، یک ویدئو را از طریق ویژگی «Video Online» در یک سند ورد (‫Word) تعبیه کند. این آسیب‌پذیری در فایل «.xml» وجود دارد که در آن، پارامتر «embeddedHtml» به یک کد iframe در یوتیوب اشاره دارد.

هکرها می‌توانند کد iframe فعلی یوتیوب را با HTML/JavaScript مخرب که توسط اینترنت اکسپلورر ارائه می شود، جایگزین کنند.

به‌گفته‌ محققان، تغییر گذرواژه‌ ویدئوی یوتیوب جاسازی‌شده در یک سند Word، برای مهاجمان بسیار آسان است. آن‌ها فقط باید فایل «document.xml» را ویرایش کنند و لینک ویدئو را با بار مخرب جایگزین کنند.

محققان گمان می‌کنند که مهاجمان ممکن است از این تکنیک برای حملات فیشینگ استفاده کنند، زیرا سند، ویدئوی جاسازی‌شده با لینک به YouTube را نشان می‌دهد، در حالی که ممکن است یک کد مخفی HTML/JavaScript در پس‌زمینه اجرا شود و منجر به اجرای کد بیشتر شود.

هکرها برای استفاده از این حمله، یک لینک ویدئو را داخل سند Word جاسازی کرده و آن را با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس کاربران را به بازکردن فایل Word ترغیب می‌کنند.

با این ترفند، کاربران هدف ممکن است هیچ چیز بدبینانه‌ای را مشاهده نکنند، زیرا بازکردن سند دارای ویدئوی جاسازی‌شده، هیچ اخطاری ایجاد نمی‌کند.این اشکال روی مایکروسافت آفیس ۲۰۱۶ و تمام نسخه‌های قبلی دارای ویژگی ویدئو آنلاین (Video Online) تأثیر می‌گذارد.

محققان سه ماه پیش این آسیب‌پذیری را به مایکروسافت گزارش کردند اما به‌نظر می‌رسد مایکروسافت قصد ندارد این مشکل را حل کند و معتقد است نرم‌افزار Word، تفسیر HTML را به‌درستی انجام می‌دهد.

به مدیران شرکت‌ها توصیه می‌شود سندهای Word دارای برچسب «embeddedHtml» در فایل «document.xml» اسناد Word را مسدود کنند و پیوست‌های ایمیل ناخواسته را از منابع ناشناخته یا مشکوک باز نکنند.
نظر شما
نام:
ایمیل:
* نظر:
کرسی آزاد اندیشی
به بهانه 12 آذر؛ روز جهانی لغو برده داری
چرا برده‌داری در اسلام حرام نگردیده است؟
گر چه مساله برده‏ گیرى و برده ‏دارى به عنوان یک دستور حتمى در مورد اسیران جنگى، در قرآن مجید نیامده است ولى انکار نمى‏توان کرد مطالبی که در قرآن براى بردگان ذکر شده است.
پاسخ رسمی
ابتدای دی‌ماه؛ آغاز برخورد جدی با برندهای محرز پوشاک قاچاق
ابتدای دی‌ماه؛ آغاز برخورد جدی با برندهای محرز پوشاک قاچاق
ستاد مبارزه با قاچاق کالا و ارز با صدور اطلاعیه‌ای اعلام کرد از اول دی‌ماه، عرضه پوشاک در فروشگاه‌های عرضه‌کننده پوشاک خارجی فاقد نمایندگی رسمی ممنوع است و واحدهای متخلف پلمب خواهد شد.