在本月的“补丁星期二”那天，微软如约发布了面向 Office 和写字板（WordPad）软件的零日漏洞补丁，堵住了可被攻击者通过一个特制 RTF 格式文档（其实暗藏恶意软件）感染系统的这个缺陷。有关这个安全漏洞的详情，已于本周早些时候被披露。在补丁推出之前，微软给用户的建议是避免打开任何来自不可信发件人的 RTF 格式文档。

microsoft-releases-patch-for-zero-day-flaw-in-office-and-wordpad-514809-2.jpg

今天，微软终于推出了补丁，修复了这个可被攻击者拿来完全控制受害计算机的 RTF 文档漏洞。微软称：

在 MS Office 和写字板软件中存在一个远程代码执行漏洞，它会在解析特别制作的文件时被利用。

得逞后的攻击者，会利用它来控制被感染的系统，然后安装程序、查看 / 变更 / 删除数据，或者新建拥有完整用户权限的账户。

在进一步的解释中，微软表示：“在大多数情况下，RTF 格式的文档是通过电子邮件的方式，发给潜在的目标的”。

本次更新通过启用Windows 中的 API 功能（让 MS Office 和 WordPad 程序正确识别），从而修复了这个解析特制文件的漏洞。

尽管微软并未强调让用户立即打上补丁，但我们还是推荐大家尽快更新，毕竟这个零日漏洞已经在网络上被详细披露。

本文转自d1net（转载）