Check Point Research (CPR) 近日发现了四个影响 Microsoft Office 套件产品(包括 Excel 和 Office Online)的安全漏洞。攻击者可利用这些漏洞,通过 Word (.DOCX)、Excel (.EXE) 和 Outlook (.EML) 等恶意 Office 文档在攻击目标上执行代码。这些漏洞源于在 Excel 95 文件格式中发现的遗留代码解析错误,研究人员据此推断这些安全漏洞已存在多年。Check Point安全团队研究表明:恶意代码可能是通过 Word 文档 (.DOCX)、Outlook 电子邮件 (.EML) 及大多数办公文件格式进行传送的;这些漏洞是由于遗留代码的解析错误造成;CPR 负责任地向 Microsoft 披露了这些安全漏洞,Microsoft 随后发布了修复程序:CVE-2021-31174、CVE-2021-31178、CVE-2021-31179、CVE-2021-31939。
发现
CPR 通过“模糊测试”MSGraph 发现了这些漏洞,MSGraph 组件可嵌入到 Microsoft Office 产品中以帮助显示图形和图表。模糊测试是一种自动化软件测试技术,它试图通过将无效和意想不到的数据输入随机输入到计算机程序中来寻找可破解的软件缺陷,从而发现编码错误和安全漏洞。借助该技术,CPR 发现了 MSGraph 中易受攻击的功能。经过类似的代码检查证实,这些易受攻击的功能通用于多种不同的 Microsoft Office 产品,例如 Excel、Office Online Server 和 Excel for OSX。
攻击方法
发现的漏洞可嵌入到大多数 Office 文档中,因此多种攻击向量可供使用。其中,最简单的一种是:
受害者下载恶意 Excel 文件(XLS 格式)。攻击者可通过下载链接或电子邮件传送该文件,但无法强迫受害者进行下载
受害者打开恶意 Excel 文件
漏洞被触发
由于整个 Office 套件都能够嵌入 Excel 对象,可供利用的攻击向量大大增加,这使得攻击者几乎能够对所有 Office 软件(包括 Word、Outlook 等)发起此类攻击。
Microsoft已发布补丁
CPR 负责任地向 Microsoft 披露了其调查结果。Microsoft 随后修补了安全漏洞并发布了 CVE-2021-31174、CVE-2021-31178、CVE-2021-31179。第四个补丁已于 2021 年 6 月 8 日星期二在 Microsoft 补丁下载中心发布,编号为 (CVE-2021-31939)。
Check Point Software 网络研究主管 Yaniv Balmas 表示:“新发现的安全漏洞可影响几乎整个 Microsoft Office 生态系统。攻击者几乎能够在所有 Office 软件上执行此类攻击,包括 Word、Outlook 和其他软件。我们发现这些安全漏洞是由于遗留代码的解析错误造成的。我们的主要调查结果之一就是遗留代码仍然是安全链中的一个薄弱环节,尤其是在 Microsoft Office 等复杂软件中。尽管我们只在攻击面上调查发现了四个漏洞,但没人知道还有多少这样的潜藏漏洞没有被发现。我强烈建议 Windows 用户立即更新软件,因为攻击者可通过多种攻击向量触发我们发现的漏洞。”
好文章,需要你的鼓励
当前软件工程团队正在试验基于AI代理的编码工具和大语言模型,以提高开发速度和质量。然而,AI编码工具的效果很大程度上取决于使用方式。开发者需要提供结构化的问题描述、明确的执行要求和相关上下文,同时建立适当的防护机制。AI不仅能处理重复性任务,还能识别和评估替代方案,从被动助手演进为工作流程推进器。成功的关键在于将AI视为合作伙伴而非快捷工具,并将其整合到软件交付的全生命周期中。
NVIDIA研究团队开发出名为Lyra的AI系统,能够仅凭单张照片生成完整3D场景,用户可自由切换观察角度。该技术采用创新的"自蒸馏"学习方法,让视频生成模型指导3D重建模块工作。系统还支持动态4D场景生成,在多项测试中表现优异。这项技术将大大降低3D内容创作门槛,为游戏开发、电影制作、VR/AR应用等领域带来重大突破。
Salesforce发布企业级AI智能体平台Agentforce 360,将AI智能体融入几乎所有应用中。该平台采用混合推理引擎Atlas,结合大语言模型的概率思维和业务规则的精确性,支持语音交互和深度集成。以Slack为主要界面,提供Agentforce Builder开发环境,能将非结构化文档转换为可查询记录。Salesforce内部已部署该系统,每周处理180万次对话,主动服务活动增长40%。
谷歌DeepMind团队创新性地让Gemini 2.5模型在无需训练的情况下学会理解卫星多光谱图像。他们将复杂的12波段卫星数据转换为6张可理解的伪彩色图像,配以详细文字说明,使通用AI模型能够准确分析遥感数据。在多个基准测试中超越现有模型,为遥感领域AI应用开辟了全新道路。