微軟修補 Internet Explorer 零日漏洞，阻止一年多的網絡攻擊

微軟近期在其 Patch Tuesday 更新中，修補了 Internet Explorer 引擎中的一個重大零日漏洞。這個漏洞已經被網絡犯罪分子利用超過一年，目的是欺騙用戶在未受保護的本地機器上運行惡意代碼。

這個漏洞被標記為 CVE-2024-38112，儘管 Internet Explorer 瀏覽器已於 2022 年退休，但其引擎仍包含在最新的 Windows 11 系統中，這為犯罪分子提供了攻擊機會。漏洞的嚴重性評分為 7.0 分（滿分 10 分），要求攻擊者採取額外行動才能成功利用該漏洞。

研究人員指出，犯罪分子使用惡意 URL 連結，表面上看似打開 PDF 文件，但實際上是在 Internet Explorer 模式下運行 Edge 瀏覽器，進而濫用 MSHTML 引擎中的漏洞來獲得遠程代碼執行權限。

受害者會被誘騙下載並運行惡意文件，這些文件表面上是 PDF 文件，但實際上是執行程序，進一步危害用戶的系統。Check Point 發現了六個用於這些攻擊的惡意 .url 文件，並建議所有 Windows 用戶立即安裝最新的安全更新以保護他們的設備。

這次的安全修補再次提醒用戶，即使已被淘汰的軟體仍可能成為攻擊目標，保持系統和軟體的最新狀態至關重要。微軟承諾將繼續支持這些老舊引擎，至少到 2029 年，確保用戶的安全。

關於零日漏洞（zero-day），是一種利用沒有修復方案的安全性漏洞的攻擊。它被稱為「zero-day」威脅，因為一旦最終發現漏洞，開發人員或組織只有「零天」來找出解決方案。

－資料來源：techspot