微软一直以来大力推动 Microsoft Office 应用,让用户可以使用经典套装生产力工具,并且持续不断地加入各种与时俱进的新功能。 近日,微软揭露了一个最高严重性的零日漏洞,影响多款 Office 和 365 产品,攻击者可能利用此漏洞窃取个人或组织内的私人资料,至于修复更新应该会在 8/13 前后释出。
微软揭露 Microsoft Office 应用程序未修补的高危漏洞
该漏洞编号为 CVE-2024-38200(有兴趣可以点击前往查看更多详细信息),又被称为「Microsoft Office 欺骗漏洞」(Microsoft Office Spoofing Vulnerability),攻击者不需要多花功夫去诱导受害者开启恶意文件或执行不良程序,只需引导受访者造访包含「特制文件」 的网站即可,是一个危险系数高且相对容易被利用的漏洞。
下面列举出来的 Offiice 系列产品均受到 CVE-2024-38200 波及:
- Microsoft Office 2016(32 位元和 64 位)
- Microsoft Office 2016(32 位元和 64 位)
- Microsoft Office LTSC 2021(32 位元和 64 位)
- Microsoft 365 企业版应用程序(32 位和 64 位)
MITRE 表示,攻击者很有可能利用此漏洞。 就其本身而言,微软将可利用性标记为「不太可能」,这表示在攻击者能够弄清楚如何建立利用所需的恶意文件之前应该就有补丁可用,但请切记,无论如何,未能安装所需安全性更新的个人或组织都将更容易处于遭受攻击的风险下。
使用受影响版本的 Microsoft Office 的用户应一如既往地避免开启未知网站(尤其是通过电子邮件分享的网址)。 组织、企业可以采取更积极的措施来降低风险,Microsoft 建议将敏感用户新增至受保护的用户安全群组中。 而安全性更新的推出时间暂定于8月13日。
