微軟針對 CVE-2021-40444 嚴重 0-day 漏洞釋出更新程式,避免 Office 用戶遭 RCE 駭侵攻擊
- 發布單位:TWCERT/CC
- 更新日期:2021-09-15
- 點閱次數:5152
微軟緊急推出針對一個嚴重 0-day 漏洞釋出更新程式;該漏洞可導致駭侵者攻擊 Office 365 與 Office 2019,並且遠端執行任意程式碼。
微軟日前緊急推出針對一個嚴重 0-day 漏洞釋出更新程式;該漏洞可導致駭侵者攻擊 Windows 10 上的 Office 365 與 Office 2019,並且遠端執行任意程式碼。
該漏洞的 CVE 編號為 CVE-2021-40444,其 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),主要受影響的微軟產品,以 Windows 家族作業系統(包括 Windows Server 2008、Windows 8.1 一直到 Windows 10 的各版本)上的 Office 365 與 Office 2019。
該漏洞存於 MSHTML 子系統中,這是一個用來繪製畫面輸出的瀏覽器元件,也用於 Microsoft Office 文件之中;駭侵者可利用內含惡意 ActiveX 控制項目的特製 Microsoft Office 文件檔案來誘發此漏洞。要是受害者開啟含有惡意 ActiveX 控制項目的 Office 文件時,即可能遭到攻擊。
不過微軟也指出,如果用戶是以預覽模式,或是透過 Office 365 中的 Application Guard 來開啟從網路上下載的惡意 Office 文件檔案,由於是處於唯讀狀態,且 Application Guard 預設會將不受信任的文件隔離開來,不可使用連線資源或本機的檔案系統,因此將不會受到攻擊。
另外,如果電腦系統上安裝有啟用中的 Microsoft Defender Antivirus 以及 Defender for EndPoint (版本 1.349.22.0 及更新版本),系統也能受到保護,不會遭到 CVE-2021-40444 的攻擊。
用戶請至微軟網站進行更新
- CVE編號:CVE-2021-40444
- 影響產品/版本:包括 Windows Server 2008、Windows 8.1 一直到 Windows 10 的各版本上的 Office 365 與 Office 2019
- 解決方案: 進行更新