微軟承認(rèn) Win10/11 存在 Outlook 郵件漏洞，黑客可利用 WAV 音頻文件遠(yuǎn)程執(zhí)行代碼

IT之家 12 月 20 日消息，微軟日前承認(rèn) Windows 10/11 系統(tǒng)中存在兩個“Outlook 郵件遠(yuǎn)程執(zhí)行代碼”漏洞，分別是 CVE-2023-35384 與 CVE-2023-36710，允許黑客利用帶有“特殊 WAV 音頻文件”的郵件發(fā)動攻擊，目前相關(guān)漏洞已經(jīng)在 2023 年 10 月的軟件更新中修復(fù)。

據(jù)悉，兩項漏洞均由安全公司 Akamai 發(fā)現(xiàn)，該公司聲稱，微軟在今年 3 月修復(fù)“CVE-2023-23397 漏洞”后，反而產(chǎn)生了更多漏洞。

IT之家注意到，黑客可利用 CVE-2023-35384 漏洞，向受害者發(fā)送一封帶有“通知聲音”的“提醒類”電子郵件，系統(tǒng)在收到信件之后，便會從黑客的服務(wù)器下載特制的 WAV 音頻文件。

在受害者接收到特定音頻文件后，黑客便可利用 CVE-2023-36710 漏洞，通過特制的 WAV 音頻文件，觸發(fā)系統(tǒng)音頻壓縮管理器（ACM）的整數(shù)溢位漏洞，進(jìn)而遠(yuǎn)程執(zhí)行任意代碼。

安全公司提到，盡管微軟已經(jīng)修復(fù)了相關(guān)漏洞，但“由于 Outlook 的攻擊面仍然存在”，因此黑客依然可以從攻擊面中找到新漏洞并加以利用。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。