Word零日漏洞 微軟Windows和Office都無法幸免

新的零日漏洞會影響微軟Office和Windows的所有版本，包括在Windows 10上運行的Office 2016。攻擊者可以使用戶將惡意文件作為電子郵件附件下載，執行代碼並在用戶的係統上安裝惡意軟件。

McAfee和FireEye的研究人員已經發現了一種基於電子郵件的黑客攻擊方法，可以用來危及完全更新和修補的Windows操作係統，甚至是Windows 10。

攻擊的形式是在微軟Office的所有運行版本中存在的未修補的零日漏洞。根本原因在於一個重要的Office功能，稱為對象鏈接和嵌入（OLE）。它允許應用程序嵌入，並鏈接到文檔和對象。

據研究人員介紹，在電子郵件中，受害人打開一個可疑的Word文件（嵌入OLE2link對象）會觸發winword.exe向攻擊者的遠程服務器發起HTTP請求。這導致在受害者的機器上下載惡意的.hta文件（HTML應用程序可執行文件）。對於用戶，HTA文件顯示為具有.doc擴展名的富文本格式（RTF）。當然它也可會繞過機器上的殺毒軟件。

McAfee研究人員捕獲的一部分信息

研究人員披露的零日攻擊影響所有版本的微軟Windows和Office。目前微軟已經意識到這個漏洞，相信很快就會更新補丁。

用戶在使用Office時，可通過內置的受保護視圖功能來打開附件，直到微軟發布安全補丁。更重要的事不要從不受信任的位置或站點獲取Office文件。