無法完全修補117個漏洞，微軟Microsoft 365暫停SketchUp工具

IT之家 11 月 8 日消息，網絡安全公司 Zscaler 近日發(fā)現了 Microsoft 365 套件中的 117 處漏洞，而這些漏洞均存在于 SketchUp 中。

微軟隨后發(fā)布了相應的修復補丁，但研究人員測試之后，發(fā)現依然可以繞過修復補丁，執(zhí)行相應的攻擊操作。微軟為此暫時在 Microsoft 365 中禁用了 SketchUp，待更完善地修復補丁發(fā)布之后，再開放 SketchUp。

IT之家注：SketchUp 是一套直接面向設計方案創(chuàng)作過程的設計工具，其創(chuàng)作過程不僅能夠充分表達設計師的思想而且完全滿足與客戶即時交流的需要，它使得設計師可以直接在電腦上進行十分直觀的構思，是三維建筑設計方案創(chuàng)作的優(yōu)秀工具。

Zscaler ThreatLabz 團隊透露，他們在對 Office 3D 組件進行逆向工程之后，發(fā)現微軟調用多個 SketchUp C API，讓應用處理 SketchUp（SKP）文件。

團隊在該過程中發(fā)現了 20 多處漏洞，隨后又發(fā)現了另外 97 個漏洞，涉及越界寫入（outofbounds write）、堆棧緩沖區(qū)溢出等等。