Office 被曝 0 day 漏洞，微软确认 Windows 支持诊断工具存在问题

图片地址：https://img.ithome.com/newsuploadfiles/2022/6/49ebf8c2-b1e0-432b-9325-b84e1eb228ac.png

IT之家 6 月 4 日消息，有研究人员在微软 Office 中发现一个 0 day 安全漏洞 ——Follina，漏洞 CVE 编号为 CVE-2022-30190。微软已确认该漏洞存在于 Windows 上的微软支持诊断工具（Microsoft Support Diagnostic Tool）中，当 MSDT 使用 Word 等应用从 URL 协议调用时便会触发漏洞。值得注意的是，这种混淆的代码可以在不打开文档的情况下运行，比如通过 IE 的预览窗口。攻击者利用该漏洞可以以调用应用的权限运行任意代码，然后安装应用程序、查看、修改和删除数据，甚至创建新的账户等。IT之家了解到，这一漏洞似乎不局限于 Windows 的版本，只要系统安装了 Microsoft 支持诊断工具就有可能会暴露出来。微软表示，用户只需禁用 MSDT URL 协议即可避免此漏洞被利用，而且你仍然可以使用 Get Help 应用程序和系统设置中的其他或其他故