微软承认Windows存在可被恶意Office文件攻击的零日漏洞

　　微软已经承认所有版本的 Windows 存在一个新的零日漏洞，目前正被攻击者利用。该公司表示，在 MSHTML 中发现了一个远程代码执行漏洞，恶意的微软 Office 文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的 ActiveX 控件，被承载浏览器渲染引擎的微软 Office 文档所使用。然后，攻击者需要说服用户打开该恶意文件。

　　该公司解释说：”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。”

　　这个远程代码执行漏洞的标识符为 CVE-2021-40444，是由不同网络安全公司的研究人员发现的，其中包括微软自家安全响应中心、EXPMON 和 Mandiant。该漏洞一旦被利用，就会影响到 Internet Explorer 的浏览器渲染引擎 MSHTML，该引擎也被用来渲染 Windows 上 Microsoft Office 文件中基于浏览器的内容。

　　微软已经在进行修复工作，并计划在本月的补丁星期二或通过带外更新发布安全更新。同时，用户可以通过保持反恶意软件产品（即微软 Defender 系列）的运行来保护电脑。该公司还建议用户暂时禁用 Internet Explorer 中的 ActiveX 控件的安装，以减轻任何潜在的攻击。

　　如需要了解更多细节，请访问微软的安全咨询页面，了解有关这些变通和缓解的方法：

　　https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444