(3月25日信息)据悉,当地时间周一,微软公司宣布,办公软件Word上存在一处未发布补丁的安全漏洞。这一漏洞存在于所有的Microsoft Word版本上,包括Windows、Mac等在内。以及几个相关的应用,比如SharePoint Server上的Word Viewer、Word Automation也都受此影响。但当前的攻击目标为Word 2010。从攻击对象具有特定对象这一情况来看,似乎攻击者对某一产品存在的弱点了若指掌。
微软还表示,Outlook应用也可能成为黑客攻击目标。如果Word被用户设定成为了Outlook浏览工具,则带有RTF文件的 Outlook也将成为攻击者侵袭标。微软特别提示,在微软Outlook 2007、Outlook 2010和Outlook 2013中,Word通常被默认为Outlook浏览工具。
针对该漏洞,微软称已经在常用知识库里发布了临时性的解决方案:用户可以将支持RTF设置更改为禁用,以减少攻击机会。但微软同时表示,如果用户依赖于使用Word查看RTF文件,则可能面临攻击。补丁传送门:https://support.microsoft.com/kb/2953095
微软称,一旦攻击者成功利用了该漏洞,可对Word用户的权限进行控制,因此标准版Word用户遭受攻击的机会可能会减少。微软补充说,使用增强减灾经验工具包(EMET),可以降低遭受攻击可能。
微软此次公布的Word应用零日安全漏洞,由谷歌安全团队工程师杜鲁·欣茨(Drew Hintz)、肖恩·亨特利( Shane Huntley)马蒂·佩莱格里诺(Matty Pellegrino)发现并告知微软。
