微软警告,IE浏览器零日漏洞正被在野利用
2021-09-09
来源: FreeBuf
9月8日,微软安全团队警告,IE浏览器中的一个零日漏洞正被积极利用,恶意的微软Office文档可以借用该漏洞对计算机发起攻击。
该漏洞被追踪为 CVE-2021-40444,影响到微软的 MHTML,也被称为 Trident,即IE浏览器引擎,该漏洞可造成远程代码执行,CVSS评分8.8。
MSHTML是IE浏览器的主要HTML组件,也被用于其他应用程序。在 Office 中用于在其中呈现 Web 内容Word、Excel 和 PowerPoint 文档。
该漏洞由Mandiant研究人员Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang以及EXPMON的Haifei Li报告。
“微软公司意识到有针对性的攻击,试图通过使用特别制作的微软 Office 文档来利用这一漏洞。”微软在公告中写道。
攻击者可以制作一个恶意的ActiveX控件,由承载浏览器渲染引擎的微软Office文档来使用。然后,攻击者需要说服用户打开该恶意文件。
微软称,帐户被配置在系统上并拥有较少用户权限的用户,可能比以管理用户权限操作的用户受到的影响要小。
关于攻击的细节、目标,以及利用这个零日的攻击者,微软都没有公开。微软计划在下周的补丁星期二活动日中修复这个漏洞。微软敦促客户禁用IE中的所有ActiveX控件,以避免潜在的攻击。
本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。