示意圖,與新聞事件無關。

圖片來源: 

Microsoft

微軟在本周二(4/11)釋出了61項安全更新,修補IE、Microsoft Edge等產品漏洞,包括已遭到駭客開採的Office零時差漏洞。

該漏洞存在於Office文件中允許嵌入物件或連結的Object Link and Embedding (OLE)中,根據資安業者FireEye的說明,駭客可傳遞一個含有OLE嵌入式物件的Word檔案給目標對象,當使用者開啟檔案時,它就會存取遠端伺服器,以下載一個假冒為合法RTF檔案(豐富文字格式檔案),實為HTA檔案(HTML檔案)且內含VBScript的惡意程式,還會關閉winword.exe,以避免使用者看到OLE物件的提醒視窗。

該漏洞讓駭客可在系統上執行任意程式,卡內基美隆大學網路緊急應變中心(CERT)指出,藉由該漏洞,駭客可能不只是要攻擊Word,而是著眼於Windows上的其他元件。

事實上,資安業者已發現駭客利用該漏洞傳遞了多種惡意程式,包括可用來竊取銀行資訊的木馬程式Dridex。

此一代號為CVE-2017-0199的漏洞影響包括Windows 10在內的所有Office版本,微軟則在本周修補了該漏洞

除了Office之外,微軟本周所修補的安全漏洞還涉及了IE、Microsoft Edge、Windows、Visual Studio for Mac、.NET Framework、Silverlight及Adobe Flash Player等產品。


Advertisement

更多 iThome相關內容