微软警告,IE浏览器零日漏洞正被在野利用

安全
9月8日,微软安全团队警告,IE浏览器中的一个零日漏洞正被者积极利用,恶意的微软Office文档可以借用该漏洞对计算机发起攻击。

[[422909]]

9月8日,微软安全团队警告,IE浏览器中的一个零日漏洞正被者积极利用,恶意的微软Office文档可以借用该漏洞对计算机发起攻击。

该漏洞被追踪为 CVE-2021-40444,影响到微软的 MHTML,也被称为 Trident,即IE浏览器引擎,该漏洞可造成远程代码执行,CVSS评分8.8。

MSHTML是IE浏览器的主要HTML组件,也被用于其他应用程序。在 Office 中用于在其中呈现 Web 内容Word、Excel 和 PowerPoint 文档。

该漏洞由Mandiant研究人员Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang以及EXPMON的Haifei Li报告。

"微软公司意识到有针对性的攻击,试图通过使用特别制作的微软 Office 文档来利用这一漏洞。"微软在公告中写道。

攻击者可以制作一个恶意的ActiveX控件,由承载浏览器渲染引擎的微软Office文档来使用。然后,攻击者需要说服用户打开该恶意文件。

微软称,帐户被配置在系统上并拥有较少用户权限的用户,可能比以管理用户权限操作的用户受到的影响要小。

关于攻击的细节、目标,以及利用这个零日的攻击者,微软都没有公开。微软计划在下周的补丁星期二活动日中修复这个漏洞。微软敦促客户禁用IE中的所有ActiveX控件,以避免潜在的攻击。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-08-10 08:22:21

漏洞网络安全网络攻击

2021-03-05 16:11:54

Chrome零日漏洞谷歌

2013-10-15 10:22:43

2011-01-05 09:52:30

微软谷歌零日漏洞

2010-01-18 10:34:59

2010-11-04 14:14:26

2022-08-10 18:18:20

网络安全漏洞CISA

2021-11-26 15:03:51

Windows零日漏洞恶意软件

2021-09-08 10:35:43

黑客零日漏洞攻击

2013-05-20 09:53:33

2012-09-27 11:50:31

2009-10-19 23:25:04

2020-10-29 09:45:58

零日漏洞Chrome攻击

2013-11-14 11:16:00

2010-05-04 22:47:09

2024-07-11 11:22:05

2014-05-05 09:35:02

2009-07-07 09:37:04

2013-08-02 09:35:34

IE浏览器火狐浏览器

2014-02-19 09:47:24

点赞
收藏

51CTO技术栈公众号