微軟Outlook Zero-Click 遠端程式碼執行漏洞揭露

近日揭露了兩個現已修復的微軟Windows 安全漏洞，這些漏洞可被威脅者串聯起來，在無需任何使用者互動的情況下，在Outlook 郵箱實作遠端程式碼執行。
這兩個漏洞分別是：
CVE-2023-35384（CVSS 評分：5.4） – Windows HTML 平台安全功能繞過漏洞
CVE-2023-36710（CVSS 評分：7.8） – Windows Media Foundation Core 遠端執行程式碼漏洞
利用這兩個漏洞，攻擊者可以：竊取受害者的NTLM 憑證
下載自訂聲音文件，當使用Outlook 的提醒聲音功能自動播放時，該文件可能會導致受害者機器上的零點擊代碼執行
值得注意的是，CVE-2023-35384 也是繼CVE-2023-29324 之後第二個修補程式繞過漏洞。漏洞的揭露再次表明，網路攻擊者仍在積極利用微軟軟體中的安全漏洞。組織應定期更新軟體並採取安全措施，以保護其係統免受攻擊。