Word曝高危零日漏洞 所有Office都面临攻击

据外媒报道，黑客正在利用微软Word软件中存在一个尚未披露的零日漏洞发动入侵，安全人员表示黑客可以利用该漏洞静默安装各种恶意软件，即便目标计算机打好了所有的补丁。

报道称，这个零日漏洞不同于大多数与文档相关的漏洞，该漏洞尚未被修复，而且不依赖于宏命令。Office通常都会在用户打开启用宏命令文档时提醒用户这可能存在风险。

相反，该漏洞的触发方式为引诱用户打开一个伪装的RTF文档，该文档将从服务器下载恶意HTML应用程序，之后该程序将下载并执行恶意脚本，最终为用户计算机植入恶意软件。

文章称，McAfee安全研究人员率先在上周五发现了该漏洞。安全人员称，由于HTML应用程序可以执行，黑客可以在目标计算机上绕过系统保护机制运行代码。另一家安全公司FireEye也在周六公布了相似的报告，并且表示已经向微软报告了该漏洞。FireEye安全人员称，该问题与 WindowsObject Linking and Embedding (OLE) 功能有关，OLED功能则主要用于Office和Windows内建文档查看器WordPad，在过去几年该功能已经引发了许多漏洞。

最后值得一提的是，该漏洞影响所有的Office版本，包括最新的Office 2016，而攻击从今年1月份就开始了。一名微软发言人证实他们将在本月第周二补丁日修复该漏洞，也就是说在4月11日之前，Word用户最好不要轻易打开未知来源的RTF文件。(via: ZDNet)