Ảnh: TECH THAIVISA

Được phát hiện bởi các nhà nghiên cứu tại Cymulate, lỗi này lạm dụng tùy chọn "Online Video" trong Word, một tính năng cho phép người dùng nhúng video trực tuyến có liên kết tới YouTube.

Khi người dùng thêm liên kết video trực tuyến vào tài liệu Word, tính năng này sẽ tự động tạo tập lệnh nhúng HTML, tạo thành những video thu nhỏ để người xem nhấp vào.

Vì các tệp Word (.docx) dễ dàng được mở và chỉnh sửa, các nhà nghiên cứu cho rằng tệp Word chứa mã video được tạo, có thể bị thay thế mã iFrame video hiện tại bằng bất kỳ mã HTML hoặc javascript nào chạy ở chế độ nền.

Nói một cách đơn giản, hacker có thể khai thác lỗi bằng cách thay thế video trên YouTube bằng một video độc hại khác, lừa người dùng nhấp vào và chạy phần mềm độc hại trên máy tính.

Để chứng minh, các nhà nghiên cứu đã tạo ra một cuộc tấn công minh họa, nhận thấy rằng một khi nhấp vào video được nhúng, sẽ không có bất cứ thứ gì được tải xuống từ Internet, cũng không hiển thị bất kỳ cảnh báo bảo mật nào.

Được biết, lỗ hổng này sẽ tác động đến tất cả người dùng MS Office 2016 và các phiên bản cũ hơn. Mới đây, các nhà nghiên cứu đã quyết định công khai với những phát hiện này sau 3 tháng Microsoft từ chối đây là một vấn đề thuộc lỗ hổng bảo mật.

Ảnh: THE HACKER NEWS