IT之家 6 月 4 日消息,有研究人员在微软 Office 中发现一个 0 day 安全漏洞 ——Follina,漏洞 CVE 编号为 CVE-2022-30190。微软已确认该漏洞存在于 Windows 上的微软支持诊断工具(Microsoft Support Diagnostic Tool)中,当 MSDT 使用 Word 等应用从 URL 协议调用时便会触发漏洞。值得注意的是,这种混淆的代码可以在不打开文档的情况下运行,比如通过 IE 的预览窗口。攻击者利用该漏洞可以以调用应用的权限运行任意代码,然后安装应用程序、查看、修改和删除数据,甚至创建新的账户等。IT之家了解到,这一漏洞似乎不局限于 Windows 的版本,只要系统安装了 Microsoft 支持诊断工具就有可能会暴露出来。微软表示,用户只需禁用 MSDT URL 协议即可避免此漏洞被利用,而且你仍然可以使用 Get Help 应用程序和系统设置中的其他或其他故
Office 被曝 0 day 漏洞,微软确认 Windows 支持诊断工具存在问题
2022-06-04 20:58:58来源: IT之家
关注公众号
赞
你的鼓励是对作者的最大支持
- 微软证实:Win11/10 的“65000”BitLocker 错误已修复2024-05-01 15:59:19
- Statcounter:微软 Edge 桌面浏览器市场份额近 13%,仍与 Chrome 差距悬殊2024-05-01 18:04:36
- 微软发送调查问卷,暗示或将推出 Xbox 游戏掌机2024-05-01 20:54:07
- 微软内部邮件泄密:为追赶谷歌 AI,巨额投资 OpenAI2024-05-01 22:49:59
- 《古墓丽影:决定版》领衔,5 月上旬微软 XGP 新增游戏阵容公布2024-04-30 23:01:54
- Arc 浏览器 Windows 版正式发布:无需加入等待列表即可使用2024-04-30 23:13:55
- 微软宣布 6 月 10 日凌晨 1 点举行“Xbox Games Showcase 及 █████ Direct 直面会”2024-04-30 23:29:34
- 双频全千兆 WiFi 6:京东云 AX1800 Pro 128G 路由器 125 元京东发车2024-04-30 18:08:33
- 微软宣布将在印尼投资 17 亿美元,大力发展人工智能和云计算2024-04-30 19:19:10
- Axel Springer 和微软扩大在广告、人工智能、内容和 Azure 服务的合作关系2024-04-29 23:00:00