Почти совершеннолетняя уязвимость

Вчера, во второй вторник месяца, корпорация Microsoft традиционно выпустила свой пакет плановых обновлений. Он устраняет 53 уязвимости в программных продуктах Microsoft, 20 из которых присвоен статус критических. В частности, традиционно щедрый «урожай» уязвимостей собрали браузеры Internet Explorer и Edge, в которых исправлены сразу два десятка проблем.

Но наибольшего внимания заслуживает, пожалуй, уязвимость, получившая идентификатор CVE-2017-11882. Она была выявлена специалистами компании Embedi в редакторе формул Microsoft Equation Editor, который служит для создания математических формул и их внедрения в документы пакета Office. Как выяснилось, эта уязвимость присутствует в программе с момента ее создания в ноябре 2000 года. В 2007 разработчики обновили программу, но сохранили и функционал предыдущей версии, чтобы обеспечить совместимость документов из более ранних версий Office. Уязвимость чрезвычайно опасна, поскольку затрагивает все без исключения версии пакета Microsoft Office для 32-х и 64-битных систем и позволяет удаленное исполнение произвольного кода без каких-либо дополнительных действий со стороны пользователя. К счастью, свидетельств того, что уязвимость была использована в реальных атаках, нет. Судя по всему, исследователи Embedi стали первыми, кому удалось ее обнаружить, несмотря на столь почтенный возраст.