9月8日,，微軟安全團隊警告,，IE瀏覽器中的一個零日漏洞正被積極利用，惡意的微軟Office文檔可以借用該漏洞對計算機發(fā)起攻擊。

　　該漏洞被追蹤為 CVE-2021-40444，影響到微軟的 MHTML,，也被稱為 Trident，即IE瀏覽器引擎,，該漏洞可造成遠程代碼執(zhí)行,，CVSS評分8.8。

　　MSHTML是IE瀏覽器的主要HTML組件,，也被用于其他應(yīng)用程序,。在 Office 中用于在其中呈現(xiàn) Web 內(nèi)容Word、Excel 和 PowerPoint 文檔,。

　　該漏洞由Mandiant研究人員Bryce Abdo,、Dhanesh Kizhakkinan和Genwei Jiang以及EXPMON的Haifei Li報告。

　　“微軟公司意識到有針對性的攻擊,，試圖通過使用特別制作的微軟 Office 文檔來利用這一漏洞,?！蔽④浽诠嬷袑懙?。

　　攻擊者可以制作一個惡意的ActiveX控件,，由承載瀏覽器渲染引擎的微軟Office文檔來使用。然后,，攻擊者需要說服用戶打開該惡意文件,。

　　微軟稱，帳戶被配置在系統(tǒng)上并擁有較少用戶權(quán)限的用戶,，可能比以管理用戶權(quán)限操作的用戶受到的影響要小,。

　　關(guān)于攻擊的細節(jié)、目標,，以及利用這個零日的攻擊者,，微軟都沒有公開。微軟計劃在下周的補丁星期二活動日中修復(fù)這個漏洞,。微軟敦促客戶禁用IE中的所有ActiveX控件,，以避免潛在的攻擊。