2023 年 5 月 12 日消息�,微軟本周面向 Outlook 用戶發(fā)布安全補丁,修復(fù)了追蹤編號為 CVE-2023-29324 的零日漏洞。
這個漏洞由 Akamai 安全研究員 Ben Barnea 報告�,所有當(dāng)前支持的 Windows 版本均受到該零日漏洞影響�,目前已有證據(jù)表明黑客利用該漏洞發(fā)起攻擊。
Ben Barnea 表示黑客可以利用該漏洞�,發(fā)送包含自定義通知聲音的 UNC 路徑、擴(kuò)展 MAPI 屬性的郵件�,從而導(dǎo)致 Outlook 客戶端連接到其控制下的 SMB 共享網(wǎng)絡(luò)中�。
微軟在最新補丁中通過調(diào)整 MapUrlToZone 調(diào)用來解決這個問題�,以確保 UNC 路徑不會鏈接到互聯(lián)網(wǎng) URL,并用默認(rèn)提醒替換聲音�。在此附上補丁鏈接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29324
