微软承认Windows存在可被恶意Office文件攻击的零日漏洞
微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档
微软已经承认所有版本的 Windows 存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在 MSHTML 中发现了一个远程代码执行漏洞,恶意的微软 Office 文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的 ActiveX 控件,被承载浏览器渲染引擎的微软 Office 文档所使用。然后,攻击者需要说服用户打开该恶意文件。
该公司解释说:”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。”
这个远程代码执行漏洞的标识符为 CVE-2021-40444,是由不同网络安全公司的研究人员发现的,其中包括微软自家安全响应中心、EXPMON 和 Mandiant。该漏洞一旦被利用,就会影响到 Internet Explorer 的浏览器渲染引擎 MSHTML,该引擎也被用来渲染 Windows 上 Microsoft Office 文件中基于浏览器的内容。
微软已经在进行修复工作,并计划在本月的补丁星期二或通过带外更新发布安全更新。同时,用户可以通过保持反恶意软件产品(即微软 Defender 系列)的运行来保护电脑。该公司还建议用户暂时禁用 Internet Explorer 中的 ActiveX 控件的安装,以减轻任何潜在的攻击。
如需要了解更多细节,请访问微软的安全咨询页面,了解有关这些变通和缓解的方法:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
相关文章:
- 信用卡 PIN 码很容易猜测
- 神经元簇发能模拟 AI 学习策略
- 蜘蛛丝可能根本不具有抗菌性质
- 佳能因禁止无墨水打印机扫描被起诉
- DeepMind盈利后开始「买买买」!收购机器人模拟平台MuJoCo,全面开源
- 分析师:新MacBook Pro搭载自家芯片,苹果利润率更高了
- 格芯提交上市申请IPO,筹资约26亿美元
- 美股周二:中概股普涨 阿里涨超6% 高途涨逾12%
- 搭配自研处理器与安卓12,谷歌新机Pixel 6起价599美元
- 摩根士丹利:马斯克有望凭SpaceX成首位万亿美元富豪
- 《鱿鱼游戏》助奈飞三季度新增用户翻倍,股价近新高
- DOTA 2又上热搜了 为什么这次大家到处刷“猛犸”?
- 多位游戏巨头联合希望美国政府监管盗版和作弊网站
- Google Play Data Safety开始接受开发者申请:2022年将强制执行
- 价格欺诈投诉引发公益诉讼 京东“划线价”格式条款须整改
发表回复