CVE-2022-21840 olarak izlenen güvenlik açığı, saldırganların hedeflenen cihazlarda hiçbir ayrıcalık olmadan yararlanabileceği bir uzaktan kod yürütme (RCE) zafiyeti. Microsoft, “Bir e-posta saldırısı senaryosunda, bir saldırgan özel hazırlanmış dosyayı kullanıcıya göndererek ve kullanıcıyı dosyayı açmaya ikna ederek bu güvenlik açığından yararlanabilir” diye açıklıyor. Saldırganların bu kritik güvenlik açığından başarıyla yararlanmak için, anlık ileti veya e-posta yoluyla paylaşılan bir bağlantı kullanılarak özel hazırlanmış bir Office belgesinin açılmasını sağlamaları gerekiyor. Microsoft, Windows Gezgini önizleme bölmesinin bu güvenlik açığını girişimlerinde bir saldırı vektörü olarak kullanılamayacağını söylüyor.
macOS yamaları “hazırlık aşamasında”
Redmond, Kurumsal Microsoft 365 Uygulamaları ve Microsoft Office’in Windows sürümleri için güvenlik güncellemeleri yayınlamış olsa da, şirket hala macOS’taki güvenlik açığını gideren yamalar üzerinde çalışıyor. Mac 2021 için Microsoft Office LTSC ve Mac için Microsoft Office 2019 çalıştıran Mac kullanıcılarına, CVE-2022-21840 yamalarını almak için biraz daha beklemeleri gerektiği söylendi.
“Güncellemeler mümkün olan en kısa sürede yayınlanacak ve mevcut olduklarında müşterilere bu CVE bilgisinde bir revizyon yoluyla bilgi verilecektir.” diye sözlerine ekliyor.
Kaynak: bleepingcomputer.com