微软承认Windows存在可被恶意Office文件攻击的零日漏洞
来源:未知
微软已经承认所有版本的Windows存在一个新的零日马脚,今朝正被进击者应用。该公司表示,在MSHTML中发清楚明了一个长途代码履行马脚,恶意的微软Office文档可以借用这个马脚对计算机提议进击。进击者可以制造一个恶意的ActiveX控件,被承载浏览器衬着引擎的微软Office文档所应用。然后,进击者须要说服用户打开该恶意文件。
该公司解释说:"那些账户被设备为在体系中拥有较罕用户权限的用户可能比那些以治理用户权限操作的用户受到的影响要小。"
这个长途代码履行马脚的标识符为CVE-2021-40444,是由不合收集安然公司的研究人员发明的,个中包含微软自家安然响应中间、EXPMON和Mandiant。该马脚一旦被应用,就会影响到InternetExplorer的浏览器衬着引擎MSHTML,该引擎也被用来衬着Windows上MicrosoftOffice文件中基于浏览器的内容。
微软已经在进行修复工作,并筹划在本月的补丁礼拜二或经由过程带外更新宣布安然更新。同时,用户可以经由过程保持反恶意软件产品(即微软Defender系列)的运行来保护电脑。该公司还建议用户临时禁用InternetExplorer中的ActiveX控件的安装,以减轻任何潜在的进击。
继续阅读