Excel 曝出 Power Query 安全漏洞,1.2 億用戶易受遠程 DDE 攻擊
攻擊者只需引誘受害者打開一個電子表格,即可發起遠程 DDE 攻擊,而無需用戶執行任何進一步的操作或確認。
作者/來源: 安華金和
近日,Mimecast 威脅中心的安全研究人員,發現了微軟 Excel 電子表格應用程序的一個新漏洞,獲致 1.2 億用戶易受網路攻擊。其指出,該安全漏洞意味著攻擊者可以利用 Excel 的 Power Query 查詢工具,在電子表格上啟用遠程動態數據交換(DDE),並控制有效負載。此外,Power Query 還能夠用於將惡意代碼嵌入數據源並進行傳播。
(圖自:Mimecast,via BetaNews)
Mimecast 表示,Power Query 提供了成熟而強大的功能,且可用於執行通常難以被檢測到的攻擊類型。
令人擔憂的是,攻擊者只需引誘受害者打開一個電子表格,即可發起遠程 DDE 攻擊,而無需用戶執行任何進一步的操作或確認。
對於這項發現,Ofir Shlomo 在一篇博客文章中寫到:Power Query 是一款功能強大且可擴展的商業智能(BI)工具,用戶可將其與電子表格或其它數據源集成,比如外部資料庫、文本文檔、其它電子表格或網頁等。鏈接源時,可以載入數據、並將之保存到電子表格中,或者動態地載入(比如打開文檔時)。
Mimecast 威脅中心團隊發現,Power Query 還可用於發起複雜的、難以檢測的攻擊,這些攻擊結合了多個方面。
藉助 Power Query,攻擊者可以將惡意內容嵌入到單獨的數據源中,然後在打開時將內容載入到電子表格中,惡意代碼可用於刪除和執行可能危及用戶計算機的惡意軟體。
作為協調漏洞披露(CVD)的一部分,Mimecast 與微軟合作,來鑒定操作是否是 Power Query 的預期行為,以及相應的解決方案。
遺憾的是,微軟並沒有發布針對 Power Query 的漏洞修復程序,而是提供一種解決方案來緩解此問題。
來源:cnBeta.COM
更多資訊
蘋果安全主管將出席黑帽大會 詳解 iOS 13 和 macOS 安全性蘋果安全工程主管 Ivan Krstic 將出席 8 月 8 日舉行的黑帽安全大會,談論 iOS 13 和 macOS Catalina 幕後的安全技術,以及全新查找 App 的工作原理。Ivan Krstic 將帶來 50 分鐘的演講《iOS 和 Mac 安全性幕後的故事》,這也將是蘋果首次公開介紹 iOS 13 和 Mac 關鍵安全技術。
來源: MacX
詳情: http://www.dbsec.cn/zx/20190629-2.html
路透社:五眼聯盟曾對Yandex研發部門發起滲透 欲監視用戶賬戶信息路透社報道稱,為西方情報機構工作的黑客,曾在 2018 年底侵入了俄羅斯互聯網巨頭 Yandex 的網路,並部署了一款罕見的惡意軟體,企圖對用戶賬戶展開監視。其援引四位知情人士的話稱,這款惡意軟體名叫 Regin,被美國、英國、澳大利亞、紐西蘭和加拿大的「五眼」情報聯盟所分享。對於此事,上述國家的情報機構均未予置評。
來源: cnBeta.COM
詳情: http://www.dbsec.cn/zx/20190629-3.html
海淀法院集中宣判搜狗輸入法劫持三大搜索引擎流量不正當競爭案6月27日,海淀法院對奇虎公司、百度公司,以及動景公司和神馬公司因搜狗輸入法通過搜索候選詞為搜狗搜索導流量分別起訴搜狗公司等不正當競爭糾紛三案集中宣判。
來源: 財經網
詳情: http://www.dbsec.cn/zx/20190629-4.html
AWS S3伺服器泄露了財富100強企業的數據:福特,Netflix,TD銀行Attunity是一家為全球最大公司提供數據管理,倉儲和複製服務的以色列IT公司,它在沒有密碼的情況下將三個Amazon S3存儲桶暴露在互聯網上之後,暴露了一些客戶的數據。
來源: ZDNet
詳情: http://www.dbsec.cn/zx/20190629-5.html
(信息來源於網路,安華金和搜集整理)
點擊「了解更多」可訪問文內鏈接
※更深入地了解 Linux 許可權
※讓 Emacs shell 命令發送桌面通知
TAG:Linux技術 |