Word曝高危零日漏洞 所有Office都面臨攻擊

據外媒報道，黑客正在利用微軟Word軟體中存在一個尚未披露的零日漏洞發動入侵，安全人員表示黑客可以利用該漏洞靜默安裝各種惡意軟體，即便目標計算機打好了所有的補丁。

報道稱，這個零日漏洞不同於大多數與文檔相關的漏洞，該漏洞尚未被修復，而且不依賴於宏命令。Office通常都會在用戶打開啟用宏命令文檔時提醒用戶這可能存在風險。

相反，該漏洞的觸發方式為引誘用戶打開一個偽裝的RTF文檔，該文檔將從伺服器下載惡意HTML應用程序，之後該程序將下載並執行惡意腳本，最終為用戶計算機植入惡意軟體。

文章稱，McAfee安全研究人員率先在上周五發現了該漏洞。安全人員稱，由於HTML應用程序可以執行，黑客可以在目標計算機上繞過系統保護機制運行代碼。另一家安全公司FireEye也在周六公布了相似的報告，並且表示已經向微軟報告了該漏洞。FireEye安全人員稱，該問題與 WindowsObject Linking and Embedding (OLE) 功能有關，OLED功能則主要用於Office和Windows內建文檔查看器WordPad，在過去幾年該功能已經引發了許多漏洞。

最後值得一提的是，該漏洞影響所有的Office版本，包括最新的Office 2016，而攻擊從今年1月份就開始了。一名微軟發言人證實他們將在本月第周二補丁日修復該漏洞，也就是說在4月11日之前，Word用戶最好不要輕易打開未知來源的RTF文件。(via: ZDNet)