尽快更新！微软MS Office，Paint 3D修复RCE漏洞

在2020年4月补丁星期二之后的一周，微软又“增发”了其Office套件的安全更新，以修复几个远程代码执行漏洞。

值得注意的是，微软Windows操作系统中用于创建3D模型的免费应用程序Paint 3D也发布了安全更新，因为Paint 3D和Office“共享”了存在漏洞的Autodesk FBX库。

关于漏洞

Autodesk是流行的AutoCAD软件的开发公司，产品被建筑师、工程师、数字媒体创作者、制造商等广泛使用，近日Autodesk一口气修复了FBX软件开发人员工具包（SDK）的六个漏洞（CVE-2020-7080至CVE-2020-7085）。

如果用户受骗打开特制的恶意FBX文件，攻击者可以创建DoS攻击条件或使应用程序在底层系统上执行任意代码。

由于Autodesk FBX库已集成到MS Office应用程序和Paint 3D应用程序中，因此用它们处理特制的3D内容可能会导致远程执行代码。

成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。“那些权限较低的用户账户比管理用户权限账户受影响小”微软解释。

如何缓解？

要利用这些漏洞，攻击者必须将包含3D内容的特制文件发送给用户，并说服他们打开它。（仅通过预览窗格查看它不足以触发漏洞利用。）

由于漏洞利用需要用户交互，因此该漏洞的危险性还没有达到“critical”的级别。但不幸的是，诱骗用户打开随机文件是攻击者的“基本操作”。

该漏洞目前没有缓解或变通办法，因此强烈建议用户和管理员尽快进行系统更新，尤其是对于那些需要经常处理FBX文件的用户。