2月7日新闻,本周四美国收集保险跟基本设备保险局(CISA)宣布布告,请求全部美国联邦机构必需在3周内实现体系补丁安排,以修复微软Outlook中存在的高危近程代码履行破绽。该破绽编号为CVE-2024-21413,由保险专家Haifei Li在2024年1月发明并转达给微软,破绽评分9.8分(满分10分)。微软已于2024年2月宣布了修复补丁,装置KB5002537及以上的补丁即可修复该破绽。借助该破绽,攻打者能够经由过程发送带有歹意链接的垂纶邮件,绕过维护视图并以编纂形式翻开歹意Office文件,从而实现近程代码履行。黑客应用该破绽的方法是经由过程 Moniker Link 绕过Outlook的维护视图,应用file://协定指向黑客把持的效劳器URL,并在URL中增加感慨号跟随机文本(比方 !something )嵌入到邮件中。当用户翻开带有歹意链接的邮件时,攻打者即可近程履行恣意代码,盗取用户NTLM把柄。现在,已有黑客开端应用该破绽发动攻打,CISA夸大,该破绽是歹意收集行动者常用的攻打道路,春联邦企业形成严重危险,倡议私营机构也优先修补破绽。【起源:快科技】[db:摘要]
