یک آسیب پذیری در مایکروسافت آفیس به اسناد مربوط به کنترلهای ActiveX تعبیه شده اجازه میدهد تا اطلاعات ماشین محلی و اطلاعات کاربر شامل گذرواژه را نشت دهند. این آسیب پذیری در نوامبر 2018 توسط آزمایشگاه تحقیقاتی Mimecast شناسایی شد. Mimecast در ۶ نوامبر این آسیب پذیری را به مایکروسافت گزارش کرده است.
آسیبپذیری CVE-2019-0560 با کمک کنترلهای ActiveX، نرمافزارهایOffice 2010 Office 2013 ,Office 2016 ,Office 2019 ,and Office 365 ProPlus را تحت تاثیر قرار میدهد.
مهاجمی که از این آسیب پذیری بهره میبرد قادر خواهد بود دسترسی به اطلاعات ذخیره شده در حافظه مانند کلمه عبور، آدرس http، مدارک، اطلاعات دامنه و دیگر اطلاعات کاربر را به دست آورد. این اطلاعات می تواند به مهاجمان اجازه دهد تا سیستم ها را به خطر بیاندازند.
این نشت حافظه میتواند منجر به نوشتن دایمی محتوای حافظه در فایل های آفیس مایکروسافت شده و در نتیجه پتانسیل نشت ناخواسته اطلاعات حساس و اطلاعات ماشین را به همراه خواهد داشت. متیو گاردینر، مدیر بازاریابی محصول، توضیح داد که این نوع از دادهها میتواند برای مجرمان سایبری جهت اجرای یک بدافزار و حمله اجرایی از راه دور جهت سرقت اطلاعات حساس مفید باشد.
مایکروسافت توضیح داد که برای بهره برداری از آسیب پذیری، مهاجم می تواند یک داکیومنت ویژه ایجاد کرده و سپس قربانی را فریب دهد تا داکیومنت را باز کند. برای این کار، حمله کننده باید مکان آدرس حافظهای که شی در آن ایجاد شده را بداند.
با این حال، مایکروسافت در حال حاضر وصلههای تمام محصولات آسیب دیده آفیس را با درجه شدت مهم منتشر کرده است. نصب بهروز رسانی امنیتی ماه ژانویه 2019 آسیبپذیری را حل و فصل میکند.