今天小編分享的科技經驗:加個感嘆号就能讀取、寫入和删除文檔,微軟Outlook被曝嚴重漏洞,歡迎閲讀。
IT 之家 2 月 16 日消息,微軟近日發布安全公告,報告旗下的 Outlook 服務存在嚴重的遠程代碼執行漏洞,無需用户互動的情況下,只需要在 Outlook 超鏈接中添加 "!" 感嘆号,就能讀取相關機密文檔。
該漏洞追蹤編号為 CVE-2024-21413,在 CVSS 風險評估中基礎得分(根據漏洞的固有特征反映漏洞的嚴重程度)為 9.8(滿分 10 分),時間得分(評價漏洞被利用的時間窗的風險大小)為 8.5 分(滿分 10 分)。
該漏洞由 Check Point Research 的安全專家 Haifei Li 發現并報告,根據微軟官方描述,攻擊者可以在文檔擴展名及其嵌入鏈接後插入感嘆号,就能繞過安全程式獲得文檔的高級權限,包括編輯潛在的惡意 " 保護視圖 " 文檔。
果文檔中嵌入了帶有 http 或 https 的超鏈接,Outlook 就會啓動默認浏覽器來顯示它。例如:
Call me on Skype
安全研究人員發現一個感嘆号就足以繞過保護機制。下面的鏈接演示了這一點:
CLICK ME
微軟目前已經發布了 Office 補丁,修復了 CVE-2024-21413 漏洞,并推薦用户盡快安裝。
用于 Office 2016(32 位版本):
產品 | 文章 | 下載 | 内部版本号 |
---|---|---|---|
Microsoft Office 2016(32 位版本) | 5002537 | 安全更新 | 16.0.5435.1001 |
Microsoft Office 2016(32 位版本) | 5002467 | 安全更新 | 16.0.5435.1001 |
Microsoft Office 2016(32 位版本) | 5002522 | 安全更新 | 16.0.5435.1001 |
Microsoft Office 2016(32 位版本) | 5002469 | 安全更新 | 16.0.5435.1001 |
Microsoft Office 2016(32 位版本) | 5002519 | 安全更新 | 16.0.5435.1001 |
For Office 2016(64 位版本):
產品 | 文章 | 下載 | 内部版本号 |
---|---|---|---|
Microsoft Office 2016(64 位版本) | 5002537 | 安全更新 | 16.0.5435.1001 |
Microsoft Office 2016(64 位版本) | 5002467 | 安全更新 | 16.0.5435.1001 |
Microsoft Office 2016(64 位版本) | 5002522 | 安全更新 | 16.0.5435.1001 |
Microsoft Office 2016(64 位版本) | 5002469 | 安全更新 | 16.0.5435.1001 |
Microsoft Office 2016(64 位版本) | 5002519 | 安全更新 | 16.0.5435.1001 |
IT 之家附上該漏洞的更多相關鏈接,感興趣的用户可以點擊閲讀: