友情提示
本站部分转载文章,皆来自互联网,仅供参考及分享,并不用于任何商业用途;版权归原作者所有,如涉及作品内容、版权和其他问题,请与本网联系,我们将在第一时间删除内容!
联系邮箱:1042463605@qq.com
相关文章
近七日浏览最多
最新文章
IT之家 2 月 16 日消息,微软近日发布安全公告,报告旗下的 Outlook 服务存在严重的远程代码执行漏洞,无需用户交互的情况下,只需要在 Outlook 超链接中添加“!”感叹号,就能读取相关机密文档。
该漏洞追踪编号为 CVE-2024-21413,在 CVSS 风险评估中基础得分(根据漏洞的固有特征反映漏洞的严重程度)为 9.8(满分 10 分),时间得分(评价漏洞被利用的时间窗的风险大小)为 8.5 分(满分 10 分)。
该漏洞由 Check Point Research 的安全专家 Haifei Li 发现并报告,根据微软官方描述,攻击者可以在文档扩展名及其嵌入链接后插入感叹号,就能绕过安全程序获得文档的高级权限,包括编辑潜在的恶意 "保护视图" 文档。
果文档中嵌入了带有 http 或 https 的超链接,Outlook 就会启动默认浏览器来显示它。例如:
Call me on Skype
安全研究人员发现一个感叹号就足以绕过保护机制。下面的链接演示了这一点:
CLICK ME
微软目前已经发布了 Office 补丁,修复了 CVE-2024-21413 漏洞,并推荐用户尽快安装。
用于 Office 2016(32 位版本):
| 产品 | 文章 | 下载 | 内部版本号 |
|---|---|---|---|
| Microsoft Office 2016(32 位版本) | 5002537 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(32 位版本) | 5002467 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(32 位版本) | 5002522 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(32 位版本) | 5002469 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(32 位版本) | 5002519 | 安全更新 | 16.0.5435.1001 |
For Office 2016(64 位版本):
| 产品 | 文章 | 下载 | 内部版本号 |
|---|---|---|---|
| Microsoft Office 2016(64 位版本) | 5002537 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(64 位版本) | 5002467 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(64 位版本) | 5002522 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(64 位版本) | 5002469 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(64 位版本) | 5002519 | 安全更新 | 16.0.5435.1001 |
IT之家附上该漏洞的更多相关链接,感兴趣的用户可以点击阅读:
微软官方安全公告
Check Point 关于该漏洞的详细介绍
友情提示
本站部分转载文章,皆来自互联网,仅供参考及分享,并不用于任何商业用途;版权归原作者所有,如涉及作品内容、版权和其他问题,请与本网联系,我们将在第一时间删除内容!
联系邮箱:1042463605@qq.com