Η Microsoft διορθώνει ευπάθεια στο Outlook και άλλα σφάλματα του Office

Η Microsoft διόρθωσε κρίσιμο σφάλμα του Outlook. Η εταιρεία κυκλοφόρησε τις ενημερώσεις ασφαλείας του Office για τον Οκτώβριο 2020, διορθώνοντας 13 ευπάθειες που θα μπορούσαν να επιτρέψουν σε απομακρυσμένους εισβολείς να εκτελέσουν κακόβουλο κώδικα σε ευάλωτα συστήματα.

Η πιο σημαντική ευπάθεια που διορθώνεται με τις νέες ενημερώσεις ασφαλείας του Microsoft Office, είναι η CVE-2020-16947, μια ευπάθεια που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα κατά την προεπισκόπηση ή το άνοιγμα κακόβουλων emails με μια ευάλωτη έκδοση του Micrοsoft Outlook.

Η εκμετάλλευση της ευπάθειας μπορεί να γίνει και μέσω sites που φιλοξενούν ειδικά αρχεία, που έχουν σχεδιαστεί για την εκμετάλλευση της CVE-2020-16947.

Η επιτυχημένη εκμετάλλευση του σφάλματος επιτρέπει στους επιτιθέμενους να εκτελέσουν κώδικα στο πλαίσιο του System user. Επιπλέον, οι hackers μπορούν να πάρουν τον έλεγχο του συστήματος-στόχου, εάν ο χρήστης, που είναι συνδεδεμένος, έχει δικαιώματα διαχειριστή.

Η ευπάθεια CVE-2020-16947 επηρεάζει πολλά προϊόντα του Office, όπως το Microsoft Outlook 2016, το Micrοsoft Office 2019 και το Micrοsoft 365 Apps for Enterprise.

Ευπάθειες του Office που διορθώθηκαν με τις ενημερώσεις ασφαλείας του Οκτωβρίου

Το Patch Tuesday Office για τον Οκτωβρίου 2020 διορθώνει ευπάθειες που επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα (RCE), την παράκαμψη λύσεων ασφαλείας, την απόκτηση περισσότερων προνομίων σε ευάλωτα συστήματα, την πραγματοποίηση denial of service επιθέσεων και την αποκάλυψη πληροφοριών. Επίσης, διορθώνονται cross-site scripting ευπάθειες σε Windows συστήματα που τρέχουν ευάλωτο Microsoft Installer (.msi) και Click-to-Run εκδόσεις προϊόντων Microsoft Office.

Η Microsoft χαρακτήρισε τις 11 RCE ευπάθειες που διόρθωσε στο Office “κρίσιμες” ή “σοβαρές”, καθώς με την εκμετάλλευσή τους, οι εισβολείς θα μπορούσαν να εγκαταστήσουν κακόβουλα προγράμματα, να προβάλουν, να αλλάξουν και να διαγράψουν δεδομένα, καθώς και να δημιουργήσουν τους δικούς τους ψεύτικους λογαριασμούς διαχειριστή σε παραβιασμένες συσκευές Windows.

Tag	CVE ID	Title	Severity
Micrοsoft Office	CVE-2020-16933	Micrοsoft Word Security Feature Bypass Vulnerability	Important
Micrοsoft Office	CVE-2020-16929	Micrοsoft Excel Remote Code Execution Vulnerability	Important
Micrοsoft Office	CVE-2020-16934	Micrοsoft Office Click-to-Run Elevation of Privilege Vulnerability	Important
Micrοsoft Office	CVE-2020-16932	Microsoft Excel Remote Code Execution Vulnerability	Important
Micrοsoft Office	CVE-2020-16930	Micrοsoft Excel Remote Code Execution Vulnerability	Important
Micrοsoft Office	CVE-2020-16955	Microsoft Office Click-to-Run Elevation of Privilege Vulnerability	Important
Micrοsoft Office	CVE-2020-16928	Micrοsoft Office Click-to-Run Elevation of Privilege Vulnerability	Important
Micrοsoft Office	CVE-2020-16957	Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability	Important
Micrοsoft Office	CVE-2020-16918	Base3D Remote Code Execution Vulnerability	Important
Micrοsoft Office	CVE-2020-16949	Micrοsoft Outlook Denial of Service Vulnerability	Moderate
Micrοsoft Office	CVE-2020-16947	Micrοsoft Outlook Remote Code Execution Vulnerability	Critical
Micrοsoft Office	CVE-2020-16931	Microsoft Excel Remote Code Execution Vulnerability	Important
Micrοsoft Office	CVE-2020-16954	Micrοsoft Office Remote Code Execution Vulnerability	Important
Micrοsoft Office	CVE-2020-17003	Base3D Remote Code Execution Vulnerability	Critical
Micrοsoft Office SharePoint	CVE-2020-16948	Microsoft SharePoint Information Disclosure Vulnerability	Important
Micrοsoft Office SharePoint	CVE-2020-16953	Micrοsoft SharePoint Information Disclosure Vulnerability	Important
Micrοsoft Office SharePoint	CVE-2020-16942	Microsoft SharePoint Information Disclosure Vulnerability	Important
Micrοsoft Office SharePoint	CVE-2020-16951	Micrοsoft SharePoint Remote Code Execution Vulnerability	Critical
Micrοsoft Office SharePoint	CVE-2020-16944	Micrοsoft SharePoint Reflective XSS Vulnerability	Important
Micrοsoft Office SharePoint	CVE-2020-16945	Micrοsoft Office SharePoint XSS Vulnerability	Important
Micrοsoft Office SharePoint	CVE-2020-16946	Microsoft Office SharePoint XSS Vulnerability	Important
Micrοsoft Office SharePoint	CVE-2020-16941	Microsoft SharePoint Information Disclosure Vulnerability	Important
Micrοsoft Office SharePoint	CVE-2020-16950	Microsoft SharePoint Information Disclosure Vulnerability	Important
Micrοsoft Office SharePoint	CVE-2020-16952	Microsoft SharePoint Remote Code Execution Vulnerability	Critical

Οκτώβριος 2020: Ενημερώσεις ασφαλείας του Microsoft Office

Σύμφωνα με το Bleepingcomputer, οι ενημερώσεις ασφαλείας του Micrοsoft Office, αυτού του μήνα, παραδίδονται μέσω της πλατφόρμας Microsoft Update και μέσω του Download Center.

Περισσότερες πληροφορίες διατίθενται στους παρακάτω πίνακες (όπως τους βρήκαμε στο Bleepingcomputer):

Microsoft Office 2016

Product	Knowledge Base article
Excel 2016	Security update for Excel 2016 (KB4486678)
Office 2016	Security update for Office 2016 (KB4486682)
Office 2016	Security update for Office 2016 (KB4484417)
Outlook 2016	Security update for Outlook 2016 (KB4486671)
Word 2016	Security update for Word 2016 (KB4486679)

Microsoft Office 2013

Product	Knowledge Base article
Excel 2013	Security update for Excel 2013 (KB4486695)
Office 2013	Security update for Office 2013 (KB4486688)
Office 2013	Security update for Office 2013 (KB4484435)
Outlook 2013	Security update for Outlook 2013 (KB4484524)
Word 2013	Security update for Word 2013 (KB4486692)

Micrοsoft Office 2010

Product	Knowledge Base article
Excel 2010	Security update for Excel 2010 (KB4486707)
Office 2010	Security update for Office 2010 (KB4486700)
Office 2010	Security update for Office 2010 (KB4486701)
Outlook 2010	Security update for Outlook 2010 (KB4486663)
Word 2010	Security update for Word 2010 (KB4486703)

Micrοsoft SharePoint Server 2019

Product	Knowledge Base article
Office Online Server	Security update for Office Online Server (KB4486674)
SharePoint Server 2019	Security update for SharePoint Server 2019 (KB4486676)

Microsoft SharePoint Server 2016

Product	Knowledge Base article
SharePoint Enterprise Server 2016	Security update for SharePoint Enterprise Server 2016 (KB4486677)

Microsoft SharePoint Server 2013

Product	Knowledge Base article
Office Web Apps Server 2013	Security update for Office Web Apps Server 2013 (KB4486689)
Project Server 2013	Cumulative update for Project Server 2013 (KB4486691)
SharePoint Enterprise Server 2013	Security update for SharePoint Enterprise Server 2013 (KB4486687)
SharePoint Enterprise Server 2013	Cumulative update for SharePoint Enterprise Server 2013 (KB4486693)
SharePoint Foundation 2013	Security update for SharePoint Foundation 2013 (KB4486694)
SharePoint Foundation 2013	Cumulative update for SharePoint Foundation 2013 (KB4486690)

Microsoft SharePoint Server 2010

Product	Knowledge Base article
Project Server 2010	Cumulative update for Project Server 2010 (KB4486702)
SharePoint Foundation 2010	Security update for SharePoint Foundation 2010 (KB4486708)
SharePoint Server 2010	Security update for SharePoint Server 2010 (KB4484531)
SharePoint Server 2010	Cumulative update for SharePoint Server 2010 (KB4486705)
SharePoint Server 2010 Excel Web App	Security update for SharePoint Server 2010 Excel Web App (KB4462175)

Microsoft Patch Tuesday Οκτωβρίου 2020

Την Τρίτη, η Microsoft κυκλοφόρησε το Patch Tuesday του Οκτωβρίου 2020, που περιλαμβάνει όλες τις διορθώσεις ευπαθειών σε όλα της προϊόντα. Η εταιρεία διόρθωσε συνολικά 87 ευπάθειες, με 12 από αυτές να χαρακτηρίζονται κρίσιμες, 74 σοβαρές και μία μέτρια.

Επίσης, εκδόθηκαν οι non-security ενημερώσεις Windows 10 (KB4579311 & KB4577671).