下載后無需交互即可竊取信息，微軟悄悄修復 Win10/11 .theme 主題文件漏洞 CVE-2024-21320

IT之家 3 月 9 日消息，安全機構 Akamai 日前公布了微軟 Win 10/11 主題系統(tǒng)中一項名為 CVE-2024-21320 的漏洞，該漏洞 CVSS 評分為 6.5，允許黑客使用特制的 .theme 主題文件遠程執(zhí)行代碼。

據(jù)介紹，微軟 Windows 資源管理器會默認預加載 .theme 主題的縮略文件，因此給予了黑客可乘之機，當黑客只需要將相關主題縮略文件參數(shù)指向惡意地址，Windows 資源管理器便會在加載縮略文件時連接黑客指定的遠程 UNC 路徑，進而遠程執(zhí)行代碼。

IT之家注意到，微軟已經在 2024 年 1 月份的 Windows 10/11 累積更新中緩解了相關漏洞，在相關更新中，微軟引入路徑驗證來對 UNC 進行驗證，同時根據(jù)系統(tǒng)策略選擇是否允許使用 UNC 路徑，同時引入了一項名為“DisableThumbnailOnNetworkFolder”的注冊表項，允許禁用網絡縮略圖來降低風險。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。