IT 之家 2 月 16 日消息,微軟近日發布安全公告,報告旗下的 Outlook 服務存在嚴重的遠程代碼執行漏洞,無需用戶交互的情況下,隻需要在 Outlook 超鏈接中添加 "!" 感歎号,就能讀取相關機密文檔。
該漏洞追蹤編号爲 CVE-2024-21413,在 CVSS 風險評估中基礎得分(根據漏洞的固有特征反映漏洞的嚴重程度)爲 9.8(滿分 10 分),時間得分(評價漏洞被利用的時間窗的風險大小)爲 8.5 分(滿分 10 分)。
該漏洞由 Check Point Research 的安全專家 Haifei Li 發現并報告,根據微軟官方描述,攻擊者可以在文檔擴展名及其嵌入鏈接後插入感歎号,就能繞過安全程序獲得文檔的高級權限,包括編輯潛在的惡意 " 保護視圖 " 文檔。
果文檔中嵌入了帶有 http 或 https 的超鏈接,Outlook 就會啓動默認浏覽器來顯示它。例如:
Call me on Skype
安全研究人員發現一個感歎号就足以繞過保護機制。下面的鏈接演示了這一點:
CLICK ME
微軟目前已經發布了 Office 補丁,修複了 CVE-2024-21413 漏洞,并推薦用戶盡快安裝。
用于 Office 2016(32 位版本):
| 産品 | 文章 | 下載 | 内部版本号 |
|---|---|---|---|
| Microsoft Office 2016(32 位版本) | 5002537 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(32 位版本) | 5002467 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(32 位版本) | 5002522 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(32 位版本) | 5002469 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(32 位版本) | 5002519 | 安全更新 | 16.0.5435.1001 |
For Office 2016(64 位版本):
| 産品 | 文章 | 下載 | 内部版本号 |
|---|---|---|---|
| Microsoft Office 2016(64 位版本) | 5002537 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(64 位版本) | 5002467 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(64 位版本) | 5002522 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(64 位版本) | 5002469 | 安全更新 | 16.0.5435.1001 |
| Microsoft Office 2016(64 位版本) | 5002519 | 安全更新 | 16.0.5435.1001 |
IT 之家附上該漏洞的更多相關鏈接,感興趣的用戶可以點擊閱讀:
