Office最新0day漏洞 所有Word版本受影響

E安全4月10日訊 安全研究人員指出，攻擊者正利用Microsoft Word中先前未披露的漏洞秘密安裝各種惡意軟體，即便電腦打了安全補丁，也無濟於事。

與大多數文檔相關的漏洞不同，這個尚未修復的零日漏洞並不依賴宏。因為在打開啟動宏的文件時，Office通常會警告用戶這類文件存在風險，而該漏洞「機智」的避開了這一點。

相反，受害者打開任意一個欺騙性Word文檔時就會觸發該漏洞。欺騙性Word文檔從伺服器下載一個惡意HTML應用程序，偽裝成富文本文檔作為誘餌，該惡意HTML應用程序就會下載並運行惡意腳本，秘密安裝惡意軟體。

McAfee的研究人員上周五首次發布漏洞報告，並稱，由於HTML應用是可執行的，攻擊者可以在受感染的電腦上運行代碼，同時還能避開基於內存的緩解措施（旨在阻止這些攻擊）。

安全公司FireEye上周六也發布了類似的報告。

FireEye稱，之所以推遲公開披露，是因為公司在跟微軟協調相關工作。該漏洞與Windows

對象連接與嵌入（OLE）功能有關，OLE功能允許應用程序連接並嵌入內容到其它文檔，主要用於Office和Windows的內置文檔查看器WordPad。過去幾年OLE功能一直是眾多漏洞的原因所在。

研究人員指出，所有Office版本中都存在該漏洞，並且能被利用，包括Windows 10運行的最新版Office 2016。自1月以來，就出現利用該漏洞的攻擊。

目前尚不清楚，微軟是否會在「周二補丁日」修訂該零日漏洞。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。