無法完全修補(bǔ)117個漏洞，微軟Microsoft 365暫停SketchUp工具

IT之家 11 月 8 日消息，網(wǎng)絡(luò)安全公司 Zscaler 近日發(fā)現(xiàn)了 Microsoft 365 套件中的 117 處漏洞，而這些漏洞均存在于 SketchUp 中。

微軟隨后發(fā)布了相應(yīng)的修復(fù)補(bǔ)丁，但研究人員測試之后，發(fā)現(xiàn)依然可以繞過修復(fù)補(bǔ)丁，執(zhí)行相應(yīng)的攻擊操作。微軟為此暫時在 Microsoft 365 中禁用了 SketchUp，待更完善地修復(fù)補(bǔ)丁發(fā)布之后，再開放 SketchUp。

IT之家注：SketchUp 是一套直接面向設(shè)計方案創(chuàng)作過程的設(shè)計工具，其創(chuàng)作過程不僅能夠充分表達(dá)設(shè)計師的思想而且完全滿足與客戶即時交流的需要，它使得設(shè)計師可以直接在電腦上進(jìn)行十分直觀的構(gòu)思，是三維建筑設(shè)計方案創(chuàng)作的優(yōu)秀工具。

Zscaler ThreatLabz 團(tuán)隊透露，他們在對 Office 3D 組件進(jìn)行逆向工程之后，發(fā)現(xiàn)微軟調(diào)用多個 SketchUp C API，讓應(yīng)用處理 SketchUp（SKP）文件。

團(tuán)隊在該過程中發(fā)現(xiàn)了 20 多處漏洞，隨后又發(fā)現(xiàn)了另外 97 個漏洞，涉及越界寫入（out-of-bounds write）、堆棧緩沖區(qū)溢出等等。