經典辦公軟件WPS Office近日被ESET披露存在兩個高危安全漏洞,編號分別為CVE-2024-7262和CVE-2024-7263,CVSS評分高達9.3。
鑒於漏洞的嚴重性,建議所有WPS用戶立即升級到最新版本(12.2.0.17153或更高版本)。
安全研究人員發現CVE-2024-7262漏洞已被利用,攻擊者通過分發帶有惡意代碼的電子表格文檔來觸發該漏洞,實現“單擊即中”的遠程代碼執行攻擊,可能導致數據失竊、勒索軟件感染或更嚴重的系統破壞。
漏洞位置均在WPS Office的promecefpluginhost.exe組件中,由於不恰當的路徑驗證,攻擊者能夠加載並執行任意的Windows庫文件。
盡管金山軟件針對CVE-2024-7262發佈瞭補丁版本12.2.0.16909,但很快被發現修復不徹底,CVE-2024-7263漏洞利用瞭修復過程中忽略的參數,使攻擊者能夠繞過安全措施。
除瞭更新軟件版本外,用戶近期最好不打開來源不明的文件,尤其是可能含有惡意代碼的電子表格和文檔。
此外還有未經證實的消息表示,可能隻有WPS國際版受到影響,國內版本或不受影響,但出於安全考慮,還是建議升級到最新版本。
發表評論 取消回复