(转载:www.idcew.com)攻击者利用Microsoft Word先前未公开的漏洞,安全研究人员说可以悄悄地fully-patched上安装不同类型的恶意软件,甚至是电脑。 与大多数document-related漏洞,这个零日漏洞还有待修补不依靠宏——通常在办公室警告用户打开macro-enabled文件时的风险。 相反,脆弱时触发一个受害者打开一个把戏Word文档,下载一个恶意的HTML应用程序从服务器,看起来像一个富文本文档文件伪装成一个诱饵。HTML应用程序同时下载和运行恶意脚本,可以用来静静安装恶意软件。 McAfee研究人员,周五首次报道发现,说因为HTML应用程序是可执行文件,攻击者可以在受影响的电脑上运行代码而逃避应对基于内存的旨在防止这些类型的攻击。 McAfee和FireEye——后者周六发布类似的报告,但在举行公开披露时协调响应与微软——同意脆弱性的原因。这个问题涉及到Windows对象链接和嵌入(OLE)功能,它允许应用程序和嵌入内容链接到其他文档,根据研究人员。Windows OLE功能主要用于办公室和Windows的内置文档查看器写字板,但已经引起众多漏洞在过去的几年里。 研究人员最近一个黑帽子说话关注Windows OLE攻击表面。 研究人员说的漏洞可以利用所有版本的办公室,包括最新的办公室2016上运行Windows,自今年1月以来在野外发现了攻击。 微软的一位发言人证实,该公司周二将问题修复bug的月度发布安全补丁和补丁。(转载:www.idcew.com) |