下載后無需交互即可竊取信息，微軟悄悄修復(fù) Win10/11 .theme 主題文件漏洞 CVE-2024-21320

IT之家 3 月 9 日消息，安全機(jī)構(gòu) Akamai 日前公布了微軟 Win 10/11 主題系統(tǒng)中一項(xiàng)名為 CVE-2024-21320 的漏洞，該漏洞 CVSS 評(píng)分為 6.5，允許黑客使用特制的 .theme 主題文件遠(yuǎn)程執(zhí)行代碼。

據(jù)介紹，微軟 Windows 資源管理器會(huì)默認(rèn)預(yù)加載 .theme 主題的縮略文件，因此給予了黑客可乘之機(jī)，當(dāng)黑客只需要將相關(guān)主題縮略文件參數(shù)指向惡意地址，Windows 資源管理器便會(huì)在加載縮略文件時(shí)連接黑客指定的遠(yuǎn)程 UNC 路徑，進(jìn)而遠(yuǎn)程執(zhí)行代碼。

IT之家注意到，微軟已經(jīng)在 2024 年 1 月份的 Windows 10/11 累積更新中緩解了相關(guān)漏洞，在相關(guān)更新中，微軟引入路徑驗(yàn)證來對(duì) UNC 進(jìn)行驗(yàn)證，同時(shí)根據(jù)系統(tǒng)策略選擇是否允許使用 UNC 路徑，同時(shí)引入了一項(xiàng)名為“DisableThumbnailOnNetworkFolder”的注冊(cè)表項(xiàng)，允許禁用網(wǎng)絡(luò)縮略圖來降低風(fēng)險(xiǎn)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。