Wel patch voor gevaarlijk Office-gat voor macOS, ná Windows

Securitybedrijf Mimecast waarschuwt voor een nieuwe kwetsbaarheid in Microsoft Office voor Windows en Mac. "Het gaat om een zeer ernstige kwetsbaarheid waarmee aanvallers op afstand code kunnen uitvoeren. Na een melding van Mimecast heeft Microsoft hiervoor een patch vrijgegeven", meldt het bedrijf die het persbericht ook in online-gelinkt Word-formaat aanlevert. De kwetsbaarheid (3D Office Exploiter genoemd) schuilt in de ingebouwde Office-library voor weergave van 3D-grafieken. Misbruik is mogelijk door gebruikers bijvoorbeeld een malafide link of bestand toe te sturen.

Verantwoorde melding, onverantwoorde mededeling?

"Microsoft heeft op dinsdag 16 juni een patch beschikbaar gesteld die organisaties beschermt tegen 3D Office Exploiter (CVE-2020-1321). Op het moment van schrijven waren de securityupdates voor Microsoft Office 2016 for Mac en Microsoft Office 2019 for Mac nog niet beschikbaar", aldus de mededeling van Mimecast op 15 juli. Dat laatste blijkt echter niet te kloppen, heeft AG Connect achterhaald.

De blogpost waarin het securitybedrijf meer details geeft over het beveiligingsgat is gedateerd op 10 juli. Mimecast legt daar uit dat de toelichting op de kwetsbaarheid later na de patches is gevolgd vanwege regels voor verantwoorde bugmelding. De onderzoekers van Mimecast hebben hun vondst alleen aan Microsoft gemeld, die vervolgens het gat is gaan dichten. Updates voor Office 2016 en 2019 zijn op 16 juni uitgebracht.

Bijblijven met patches

In Microsofts securitydocument over deze kwetsbaarheid (CVE-2020-1321) staan patches vermeld voor de Windows- maar ook de Mac-uitvoeringen van het veelgebruikte applicatiepakket. De initiële versie van dat document is op 9 juni gepubliceerd en vervolgens op 16 juni bijgewerkt. Laatstgenoemde was apart (en alleen) voor het aankondigen van beschikbaarheid van security-updates voor Microsoft Office voor Mac.

De daar gelinkte Release Notes vermelden ook 16 juni als datum voor het uitkomen van Office-patches voor macOS. Daarmee is de Mac-uitvoering van Microsofts kantoorsoftware uitgekomen op versie 16.38 met buildnummer 20061401. Krap een maand later, op 14 juli, is nog een updateronde gekomen waarin ook enkele CVE-gevallen zijn gefixt, maar daaronder dus niet het gat waar Mimecast nu voor waarschuwt. Die kwetsbaarheid is wel ernstig, getuige de hoge CVSS-score van 8,8.