A Microsoft revelou uma vulnerabilidade zero day não corrigida no Office que, se explorada com sucesso, pode resultar na divulgação não autorizada de informações sensíveis para atores maliciosos. A falha, identificada como CVE-2024-38200 e com uma pontuação CVSS de 7,5, foi descrita como uma vulnerabilidade de falsificação que afeta diversas versões do Office. Os pesquisadores Jim Rush e Metin Yunus Kandemir foram creditados pela descoberta e relato dessa falha.
Em um possível cenário de ataque, um invasor poderia hospedar um site ou comprometer um site existente que aceita ou hospeda conteúdo de usuários, contendo um arquivo especialmente criado para explorar essa vulnerabilidade. No entanto, a Microsoft ressaltou que o invasor precisaria convencer o usuário a clicar em um link, geralmente por meio de e-mails ou mensagens instantâneas atrativas, e posteriormente induzi-lo a abrir o arquivo malicioso.
A Microsoft anunciou que a correção oficial para essa vulnerabilidade será disponibilizada em 13 de agosto como parte das atualizações mensais do Patch Tuesday. Entretanto, a empresa também informou que identificou uma solução alternativa, ativada por meio de Feature Flighting desde 30 de julho de 2024. A gigante tecnológica destacou que, embora os clientes já estejam protegidos em todas as versões com suporte do Microsoft Office e Microsoft 365, é fundamental atualizar para a versão final do patch assim que estiver disponível para garantir a proteção completa.