服务器之家:专注于服务器技术及软件下载分享
分类导航

服务器资讯|IT/互联网|云计算|区块链|软件资讯|操作系统|手机数码|百科知识|免费资源|头条新闻|

服务器之家 - 新闻资讯 - IT/互联网 - 微软警告,IE浏览器零日漏洞正被在野利用

微软警告,IE浏览器零日漏洞正被在野利用

2021-09-09 22:56FreeBufyannichen IT/互联网

9月8日,微软安全团队警告,IE浏览器中的一个零日漏洞正被者积极利用,恶意的微软Office文档可以借用该漏洞对计算机发起攻击。

微软警告,IE浏览器零日漏洞正被在野利用

9月8日,微软安全团队警告,IE浏览器中的一个零日漏洞正被者积极利用,恶意的微软Office文档可以借用该漏洞对计算机发起攻击。

该漏洞被追踪为 CVE-2021-40444,影响到微软的 MHTML,也被称为 Trident,即IE浏览器引擎,该漏洞可造成远程代码执行,CVSS评分8.8。

MSHTML是IE浏览器的主要HTML组件,也被用于其他应用程序。在 Office 中用于在其中呈现 Web 内容Word、Excel 和 PowerPoint 文档。

该漏洞由Mandiant研究人员Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang以及EXPMON的Haifei Li报告。

微软警告,IE浏览器零日漏洞正被在野利用

@quot;微软公司意识到有针对性的攻击,试图通过使用特别制作的微软 Office 文档来利用这一漏洞。@quot;微软在公告中写道。

攻击者可以制作一个恶意的ActiveX控件,由承载浏览器渲染引擎的微软Office文档来使用。然后,攻击者需要说服用户打开该恶意文件。

微软称,帐户被配置在系统上并拥有较少用户权限的用户,可能比以管理用户权限操作的用户受到的影响要小。

关于攻击的细节、目标,以及利用这个零日的攻击者,微软都没有公开。微软计划在下周的补丁星期二活动日中修复这个漏洞。微软敦促客户禁用IE中的所有ActiveX控件,以避免潜在的攻击。

原文链接:https://www.freebuf.com/news/288050.html

延伸 · 阅读

精彩推荐