Microsoft本周发布了带外咨询，以解决Office，Office 365和Paint 3D中的Autodesk FBX漏洞。

本月初，Autodesk FBX软件开发工具包（SDK）中解决的多个错误可能导致代码执行和拒绝服务条件。

使用FBX-SDK版本的所有应用程序和服务。Autodesk 解释说，2020.0或更早版本可能会受到“缓冲区溢出，类型混淆，释放后使用，整数溢出，NULL指针取消引用和堆溢出漏洞”的影响。

已解决的错误被跟踪为CVE-2020-7080（导致代码执行），CVE-2020-7081（导致代码执行或拒绝服务），CVE-2020-7082（代码执行），CVE-2020-7083（拒绝服务），CVE-2020-7084（拒绝服务）和CVE-2020-7085（代码执行）。

根据Microsoft的说法，在某些产品中使用Autodesk FBX库会导致处理特制3D内容时触发远程执行代码漏洞。

微软说，能够利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。为了锁定漏洞，攻击者需要将包含3D内容的特制文件发送给用户，并诱使他们打开文件。

这家技术巨头在一份通报中指出： “安全更新通过纠正Microsoft软件处理3D内容的方式来解决这些漏洞。”

尚未发现缓解因素或解决方法。

“微软将其标记为远程执行代码漏洞；然而，必须特别注意的是，此漏洞需要用户打开一个恶意文件，而不是远程执行。” Tenable研究工程师Ryan Seguin在一封电子邮件中表示。

“有些人可能会质疑Microsoft Office如何容易受到Autodesk漏洞的攻击。无论如何，这都不是微软方面的不良安全实践，但是像这样的漏洞是一个很好的例子，它说明了如何将另一个小组的工具和代码合并到您的产品中（在这种情况下，是Microsoft Office，Office 365 ProPlus）以及Paint 3D”，Seguin继续说道。

尽管本周发布了带外咨询，但易受攻击的软件的修补程序预计将在5月的“星期二修补程序”中发布。