新しいゼロデイ脆弱性, CVE-2021-40444, InternetExplorerに潜んでいるのが見つかりました, ハッカーが悪意のあるOfficeドキュメントを介して公開されたWindowsシステムを悪用できるようにする.
関連している: CVE-2021-36948WindowsUpdateでゼロデイ攻撃が悪用されたMedic
CVE-2021-40444標的型攻撃で使用されるRCEの欠陥
リモートコード実行の脆弱性, CVSSスコアで評価 8.8, MSHTMLに由来します (トライデント) InternetExplorer専用のブラウザエンジン. このエンジンは、Word内でWebコンテンツをレンダリングするためにMicrosoftOfficeでも使用されます。, Excel, およびPowerPointドキュメント. Microsoftによると, 脆弱性は、特別に作成されたOfficeドキュメントを使用した標的型攻撃で武器化されています.
「攻撃者は、ブラウザレンダリングエンジンをホストするMicrosoftOfficeドキュメントで使用される悪意のあるActiveXコントロールを作成する可能性があります。. 攻撃者は、悪意のあるドキュメントを開くようにユーザーを説得する必要があります. システムでのユーザー権限が少なくなるようにアカウントが構成されているユーザーは、管理ユーザー権限で操作するユーザーよりも影響が少ない可能性があります。,」 会社の勧告は言う.
自動更新に依存するWindowsユーザーは、CVE-2021-40444の脆弱性に対処するために追加のアクションを実行する必要がないことも注目に値します。. でも, 更新を管理する企業のお客様は、検出ビルドを選択する必要があります 1.349.22.0 以上で、環境全体にデプロイします, 会社は追加します.