Se utiliza as aplicações da Microsoft 365, talvez seja melhor ter em atenção as possíveis falhas de segurança associadas com as mesmas. Os investigadores da empresa de segurança Zscaler revelaram recentemente a existência de mais de 100 vulnerabilidades nas aplicações do Microsoft 365. Estas falhas terão surgido depois da empresa ter adicionado suporte para a SketchUp na sua plataforma.
Segundo os investigadores, foram descobertas 117 vulnerabilidades nas aplicações da Microsoft 365, todas relacionadas com a integração do suporte a ficheiros 3D da SketchUp – SKP. Esta integração permite que os utilizadores possam colocar objetos 3D nos seus documentos, e foi inicialmente lançada em Agosto de 2000 – muito antes do Microsoft 365 existir. No entanto, o ano passado a Microsoft começou a integrar este componente ao Office 3D do Microsoft 365, abrindo as portas das vulnerabilidades.
Ao analisarem esta integração, os investigadores apontam ter descoberto que a Microsoft estaria a usar várias APIs do SketchUp C para abrir e recolher dados dos ficheiros SKP. A forma como este processamento é realizado será o que permite que as falhas sejam executadas no sistema.
A Microsoft colocou todas as falhas identificadas como sendo de execução remota de código, e tendo uma gravidade de 7.8 em 10. No entanto, a empresa indica que não foram descobertos indícios de que as falhas sejam do conhecimento público, e que estejam a ser ativamente exploradas.
Na altura em que a empresa estaria a lançar as atualizações para estas vulnerabilidades, a empresa teve mesmo de desativar o suporte a SketchUp, porque mesmo com correções as falhas ainda poderiam ser exploradas. Os investigadores afirmam que a Microsoft aplicou rapidamente as correções, mas que mesmo assim os investigadores da empresa de segurança conseguiram contornar as mesmas, executando o código malicioso. Por sua vez, a Microsoft afirma que as falhas foram corrigidas em Junho, quando a funcionalidade de suporte ao SketchUp foi temporariamente desativada.
(TT)