微比恩 > 信息聚合 > Office 被曝 0 day 漏洞,微软确认 Windows 支持诊断工具存在问题

Office 被曝 0 day 漏洞,微软确认 Windows 支持诊断工具存在问题

2022-06-04 20:58:58来源: IT之家

IT之家 6 月 4 日消息,有研究人员在微软 Office 中发现一个 0 day 安全漏洞 ——Follina,漏洞 CVE 编号为 CVE-2022-30190。微软已确认该漏洞存在于 Windows 上的微软支持诊断工具(Microsoft Support Diagnostic Tool)中,当 MSDT 使用 Word 等应用从 URL 协议调用时便会触发漏洞。值得注意的是,这种混淆的代码可以在不打开文档的情况下运行,比如通过 IE 的预览窗口。攻击者利用该漏洞可以以调用应用的权限运行任意代码,然后安装应用程序、查看、修改和删除数据,甚至创建新的账户等。IT之家了解到,这一漏洞似乎不局限于 Windows 的版本,只要系统安装了 Microsoft 支持诊断工具就有可能会暴露出来。微软表示,用户只需禁用 MSDT URL 协议即可避免此漏洞被利用,而且你仍然可以使用 Get Help 应用程序和系统设置中的其他或其他故

关注公众号