來源:ZOL中關村在線
近日,微軟的安全團隊發出一條警報,表示已經有證據表明黑客利用 IE 瀏覽器中的零日漏洞發起攻擊。該漏洞被追蹤為CVE-2021-40444,影響到微軟的 MHTML,也被稱為 Trident,即 Internet Explorer 瀏覽器引擎。
![Screenshot 2021-09-08 at 10-16-12 CVE-2021-40444 - Security Update Guide - Microsoft - Microsoft MSHTML Remote Code Executi[...].jpg](https://x0.ifengimg.com/res/2021/A9C0BF2854BED1B305CCE771FD55B77DD43F3374_size23_w640_h343.jpeg)
雖然 MHTML 主要適用于現已停用的 Internet Explorer 瀏覽器,但該組件也用于Office應用程序,在 Word、Excel 或 PowerPoint 文檔中呈現網絡托管的內容。
微軟公司在今天的公告中說:“微軟公司意識到有針對性的攻擊,試圖通過使用特別制作的微軟 Office 文檔來利用這一漏洞。攻擊者可以制作一個惡意的ActiveX控件,由承載瀏覽器渲染引擎的微軟 Office 文檔來使用”。微軟表示,這些攻擊和基礎零日是由 Mandiant 和 EXPMON 的安全研究人員發現的。
關于攻擊的細節,他們的目標,以及利用這個零日的攻擊者,都沒有公開。微軟計劃在下周的補丁星期二活動日中修復這個漏洞。同時微軟表示企業可以禁用 ActiveX 渲染,以防止 CVE-2021-140444 被利用。該公司的安全公告中包含了關于如何做的說明。
