Microsoft Office là bộ ứng dụng được sử dụng phổ biến nhất có chứa bộ xử lý văn bản, bảng tính và phần mềm trình bày được kết hợp. Đây là một trong những ứng dụng đầu tiên trở nên phổ biến và giúp người dùng chuyển đổi từ tài liệu thủ công sang số hóa. Tuy nhiên, Check Point Research (CPR), một công ty an ninh mạng, gần đây đã phát hiện ra một lỗi được cho là đã ẩn nấp trong nhiều năm.
Lỗ hổng này đã được thông báo ngay cho Microsoft và một bản cập nhật đã được phát hành ngay sau đó để vá lỗ hổng này. Bản cập nhật này đã được triển khai cho tất cả người dùng Microsoft với hiệu lực ngay lập tức giúp MS Word, MS Excel, MS Powerpoint và MS Outlook an toàn khi sử dụng. Lỗ hổng hoặc lỗi này khi báo cáo CPR gọi đó là rủi ro được tìm thấy trong mã kế thừa của Định dạng tệp Excel95. Định dạng này là một định dạng cũ, có nghĩa là lỗ hổng bảo mật đã tồn tại trong một thời gian rất dài. Lỗi phân tích cú pháp đáng trách vì chúng có thể đã cho phép những người có ý đồ xấu xâm nhập vào hệ thống có cài đặt Microsoft Office.
Các báo cáo CPR cho biết thêm rằng lỗ hổng này (hiện đã được khắc phục bằng bản cập nhật) có thể bị khai thác để thực thi các mục tiêu mã thông qua các ứng dụng và tệp MS Office như Outlook (.EML), Word (.DOCX) và Excel (.EXE) cùng các tệp khác. Các lỗ hổng đã ảnh hưởng đến toàn bộ hệ sinh thái Microsoft Office cũ và mới theo xác nhận của Yaniv Balmas, Trưởng phòng Nghiên cứu Mạng tại Check Point Software. Ông cũng giải thích về mã kế thừa đóng vai trò là một liên kết yếu trong chuỗi bảo mật của Microsoft Office.
Lỗ hổng này được phát hiện trong Microsoft Office khi CPR đang thử kiểm tra Microsoft Graph, một mô-đun MS Office cho phép người dùng thiết kế các thiết kế và biểu đồ. Quá trình được sử dụng trên MS Graph bởi CPR được gọi là Fuzzing, đó là một kỹ thuật kiểm thử phần mềm tự động xác định các lỗi phần mềm trong bất kỳ ứng dụng nào. Ý tưởng đằng sau việc làm mờ rất đơn giản vì người kiểm tra chỉ phải nhập dữ liệu không hợp lệ và kiểm tra cách ứng dụng phản ứng với dữ liệu này cũng như ghi lại các lỗi mã hóa và lỗi bảo mật.
Lỗ hổng được tìm thấy trên các định dạng tệp Excel 95, đây là định dạng cũ và không được sử dụng ngày nay nhưng vì nó được hỗ trợ bởi tất cả các ứng dụng trong MS Office nên tất cả các ứng dụng còn lại dễ bị tin tặc tấn công. Cho đến nay, CPR chỉ tìm thấy bốn lỗ hổng đã được báo cáo cho Microsoft và đang tiếp tục tìm kiếm các lỗ hổng khác trong Microsoft Office.
Microsoft đã nhanh chóng phản hồi báo cáo do CPR nhấn mạnh và các bản vá lỗ hổng này đã được phát hành bằng cách tung ra các bản cập nhật CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 và CVE-2021-31939. Nếu bạn muốn cập nhật PC của mình thì hãy làm theo các bước sau:
Bước 1: Nhấn Windows + I để mở cửa sổ Cài đặt.
Bước 2: Nhấp vào Cập nhật &Cài đặt.
Bước 3 :Nhấp vào Kiểm tra bản cập nhật và nếu các bản cập nhật đã được triển khai cho khu vực của bạn, chúng sẽ tự động cài đặt.