Jump to content
Sign in to follow this  
Myszaty.

Luka w Power Query dla Excela

Recommended Posts

Microsoft Office zawiera możliwość instalacji dodatkowych komponentów zarówno od samego Microsoftu jak i wtyczek firm trzecich. Jednym z nich jest dodatek Microsoft Power Query dla programu Excel, który jak podaje sam producent „rozszerza jego możliwości w zakresie korzystania z samoobsługowej analizy biznesowej, upraszczając odnajdowanie danych i dostęp do nich oraz współpracę między użytkownikami.” Nie tylko same główne programy, czy systemy mogą mieć luki, ale i opcjonalnie doinstalowane ich komponenty.

Nie tak dawno temu aktualizacje Windowsa psuły w bardzo specyficznych warunkach Excela, a teraz właśnie Power Query nie tyle powoduje usterki w poprawnej pracy z pakietem, co umożliwia przeprowadzenie ataku na komputer ofiary (z kolei takie problemy świeżo po updacie 19H1 miał sam Windows 10). Analitycy z Mimecast Services znaleźli lukę, która pozwala na uzyskanie kontroli nad zawartością arkusza Excela. Dodatkowo używając większej ilości złożonych danych podczas ataku, cyberprzestępcy mogą załadować złośliwy kod z innego źródła od razu po otwarciu Excela i używając odpowiednich narzędzi poznać wiele kluczowych informacji o systemie. Od tego już krok do instalacji kolejnego szkodliwego oprogramowania o dowolnym zastosowaniu.Luka nie wpłynie za bardzo na prywatnych użytkowników, bo Power Query używa się głównie w firmach do pobierania i łączenia danych z różnych źródeł (nie tylko lokalnych, nawet zdalnych z sieci wewnętrznej czy Internetu, stąd potencjalne duże niebezpieczeństwo), więc domowi użytkownicy nie są narażeni na exploit (no chyba, że jednak używają Power Query). Co ciekawe podobno nie odnotowano jeszcze ataków z zastosowaniem tej techniki, ale potencjalnie narażonych jest aż 120 milionów maszyn.Prawdopodobnie zaalarmowany Microsoft już pracuje nad poprawką do tego excelowego dodatku. Tymczasem, aby nie narażać się na potencjalne zagrożenia, trzeba posiłkować się innymi sposobami na obsługę importowania i obrabiania danych, którymi do tej pory zajmował się dodatek Microsoftu.

 

 

 

 

 

 

Źródło: https://pclab.pl/news81259.html

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

Copyright © 2010-2019 cs-SopliCa.com

Wszelkie prawa zastrzeżone. Kopiowanie treści forum bez zgody administracji jest zabronione.
cs-SopliCa.com nie ponosi odpowiedzialności za treści wypowiedzi zamieszczane przez użytkowników forum.

×
×
  • Create New...