微軟公司今天表示,安全人員在 Word 應用上發現了一處尚未封堵的零日攻擊漏洞,該漏洞存在於所有版本的 Word 應用。
微軟稱,包括 Windows、Mac 等在內的所有版本 Word 應用上均存在該漏洞,而且 SharePoint Server 上的 Word Viewer、Word Automation 等相關服務也都受此影響,但目前黑客針對的攻擊物件為 Word 2010。通常來講,如果黑客針對某一版本產品進行攻擊,可能意味著他們已經獲悉了哪個版本的產品存在可被利用的薄弱環節。
微軟還稱,如果 Word 被設定為 Outlook 應用的檢視器,意味著帶有 RTF 檔案的 Microsoft Outlook 也將成為黑客攻擊目標。在 Outlook 2007、2010 和 2013 中,Word 被設定成了預設的檢視器。
微軟已經發布了一款臨時的“Fix It”解決方案,即使用者可通過將設定改為禁用支援 RTF,來暫時緩解攻擊壓力。但如果使用者依賴於使用 Word 檢視 RTF 檔案的話,可能將面臨問題。黑客利用該漏洞,可控制執行 Word 應用的特權使用者,因此使用標準版 Word 使用者可減少受到攻擊的機會。微軟還稱,增強減災經驗工具包(EMET)工具可以降低黑客的攻擊可能。
據悉,Word 應用上的這一零日漏洞,由谷歌安全團隊工程師發現並報告給微軟。