微軟釋出61項安全更新,修補包含Office上已被駭客開採的零時差漏洞
微軟在本周二(4/11)釋出了61項安全更新,修補IE、Microsoft Edge等產品漏洞,包括已遭到駭客開採的Office零時差漏洞。
該漏洞存在於Office文件中允許嵌入物件或連結的Object Link and Embedding (OLE)中,根據資安業者FireEye的說明,駭客可傳遞一個含有OLE嵌入式物件的Word檔案給目標對象,當使用者開啟檔案時,它就會存取遠端伺服器,以下載一個假冒為合法RTF檔案(豐富文字格式檔案),實為HTA檔案(HTML檔案)且內含VBScript的惡意程式,還會關閉winword.exe,以避免使用者看到OLE物件的提醒視窗。
該漏洞讓駭客可在系統上執行任意程式,卡內基美隆大學網路緊急應變中心(CERT)指出,藉由該漏洞,駭客可能不只是要攻擊Word,而是著眼於Windows上的其他元件。
《全文請見iThome(http://www.ithome.com.tw/news/113388)》
該漏洞存在於Office文件中允許嵌入物件或連結的Object Link and Embedding (OLE)中,根據資安業者FireEye的說明,駭客可傳遞一個含有OLE嵌入式物件的Word檔案給目標對象,當使用者開啟檔案時,它就會存取遠端伺服器,以下載一個假冒為合法RTF檔案(豐富文字格式檔案),實為HTA檔案(HTML檔案)且內含VBScript的惡意程式,還會關閉winword.exe,以避免使用者看到OLE物件的提醒視窗。
該漏洞讓駭客可在系統上執行任意程式,卡內基美隆大學網路緊急應變中心(CERT)指出,藉由該漏洞,駭客可能不只是要攻擊Word,而是著眼於Windows上的其他元件。
《全文請見iThome(http://www.ithome.com.tw/news/113388)》