2013年11月12日 星期二

小心TIFF圖檔!! 或內藏0Day漏洞攻撃者能直接獲取了該用戶的權限 數碼新聞,

office 2010


Microsoft 10 日發佈 2896666 公告發現了有 0 Day 漏洞被偽裝成 TIFF 格式圖像,用家通過各種圖像處理軟件打開被設計過的 TIFF 格式圖像, PC 將會被黑客控制、被任意查看郵件、文件,甚至變成木馬宿主。

據 Microsoft 表示,用家如打開了被設計過的 TIFF 格式圖像,攻撃者有機會成功入侵該台 PC ,直接獲取了該用戶的權限,因此建議用家日常使用盡量非管理員權限的戶口,這樣即使受到攻撃也不會受到重大影響,但事實上大部份 PC 用家均會直接使用系統管理員戶口進行日常工作。

目前偽裝成 TIFF 格式圖像的 0Day 並未廣泛流傳,受影響的用戶數量暫時不多,建議使用者如發現來源不明的 TIFF 格式圖檔,請不要輕易開啟或使用軟件編輯。

此外,此漏洞亦可透過 TIFF 內嵌於 Word 檔案中,通過誘導用戶打開一個含有 Word 附件的電子郵件,從而利用此漏洞發起攻擊,成功利用該漏洞的攻擊者可能獲得與登錄用戶相同的用戶權限。



.小心TIFF圖檔!! 或內藏0Day漏洞攻撃者能直接獲取了該用戶的權限 數碼新聞,
http://digital1010.blogspot.com/2013/11/tiff-0day.html