无法完全修补 117 个漏洞，微软 Microsoft 365 暂停SketchUp工具

IT之家 11 月 8 日消息，网络安全公司 Zscaler 近日发现了 Microsoft 365 套件中的 117 处漏洞，而这些漏洞均存在于 SketchUp 中。

微软随后发布了相应的修复补丁，但研究人员测试之后，发现依然可以绕过修复补丁，执行相应的攻击操作。微软为此暂时在 Microsoft 365 中禁用了 SketchUp，待更完善地修复补丁发布之后，再开放 SketchUp。

IT之家注：SketchUp 是一套直接面向设计方案创作过程的设计工具，其创作过程不仅能够充分表达设计师的思想而且完全满足与客户即时交流的需要，它使得设计师可以直接在电脑上进行十分直观的构思，是三维建筑设计方案创作的优秀工具。

Zscaler ThreatLabz 团队透露，他们在对 Office 3D 组件进行逆向工程之后，发现微软调用多个 SketchUp C API，让应用处理 SketchUp（SKP）文件。

团队在该过程中发现了 20 多处漏洞，随后又发现了另外 97 个漏洞，涉及越界写入（out-of-bounds write）、堆栈缓冲区溢出等等。