对于 Windows 用户来说,时间不多了,因为微软和网络安全与基础设施安全局 (CISA) 已经发出了明确的警告:立即更新您的系统,否则将面临严重的安全漏洞风险。一种涉及过时 Internet Explorer 代码的新漏洞威胁着数百万台 PC 的安全。尽管 Internet Explorer 已被人们遗忘,但其代码的残余却暴露了一个重大漏洞,黑客们已经开始利用它。
CISA 最近增加了一个新的漏洞, CVE-2024-43461,其 已知被利用的漏洞 (KEV) 目录。这一漏洞源于 MSHTML 平台 在 Windows 中,允许黑客伪造网页并诱骗用户访问恶意网站。再加上 7 月份的另一个漏洞 (CVE-2024-38112),此问题形成了一个危险的攻击链,使任何未打补丁的 PC 都暴露在外。如果您的 PC 尚未收到最新更新,您的系统可能会面临风险。
微软和 CISA 警告不要再发生全球危机
联邦机构必须在 2024 年 10 月 7 日之前解决这一漏洞。然而,这个期限不仅仅是为了 政府 办公室;任何拥有 Windows PC 的人都应该优先考虑 安装更新微软在 2024 年 7 月补丁星期二更新中修复了部分漏洞,解决了 CVE-2024-38112。最新更新是 9 月补丁星期二的一部分,弥补了剩余的漏洞,特别是修补了 CVE-2024-43461。这些修复程序共同防止 远程攻击者 通过恶意网页或文件访问您的系统。
如果你自 7 月以来已经更新过,你可能会认为自己已经安全了。但是,如果你没有及时更新补丁,你的系统仍然会暴露在外。微软在一份声明中指出,虽然他们在今年早些时候解决了最初的威胁链,但直到最新的更新才提供完整的解决方案。忽略此修复会使你的电脑容易受到远程代码执行攻击,黑客只需诱骗你点击 恶意链接。
你可能还记得,由于软件更新,全球发生了网络灾难。 众筹。此更新不会产生此类副作用,但可能会对建立在旧版本之上的 Windows 产生多米诺骨牌效应。因此,建议采取预防措施。
MSHTML 漏洞:伪装的后门
这 MSHTML 平台虽然已经过时,但由于 Microsoft Edge 中的 Internet Explorer 模式使用,它仍然是现代 Windows 系统的一部分。攻击者已经弄清楚了如何利用此隐藏代码来发起攻击。来自 趋势科技的 零日计划 (ZDI) 解释说,该漏洞允许黑客伪装恶意文件,诱使用户认为它们是无害的。一旦打开,这些文件就可以执行代码并授予 攻击者访问你的系统。
一个特别令人不安的细节是,黑客通过流行的云共享平台、Discord 服务器甚至在线图书馆瞄准毫无戒心的用户。文件被伪装成无害的 PDF 或其他文档,但隐藏在其中的是利用 MSHTML 漏洞所需的恶意元素。网络安全组织 虚空女妖以针对北美、亚洲和欧洲的组织而闻名,它与这些攻击有关,利用这些攻击窃取密码和加密货币钱包等敏感信息。
为什么此更新现在很重要
对于那些想知道为什么应该认真对待这一最新的安全威胁的人来说,请考虑其更广泛的影响。 联邦机构依法必须修补 这些漏洞,这种紧迫性也应该向个人和组织发出信号。攻击者一直在利用 MSHTML 漏洞绕过现代浏览器保护,甚至在 Windows 10 和 11 机器上利用 Internet Explorer 的休眠代码。一个早已过时的浏览器被用作现代攻击的门户,这一事实足以让我们立即采取行动。
检查站, 一家领先的网络安全公司强调了这一漏洞的惊人性质,并指出许多用户甚至没有意识到 Internet Explorer 仍在他们的系统中。修复方法很简单:安装 Microsoft 补丁。但在你这样做之前,你的系统处于危险之中。
我们添加了 #微软 窗户和 #进步 WhatsUp 漏洞, #CVE-2024-43461 和 CVE-2024-6670,添加到我们的已知被利用漏洞目录。访问 https://t.co/dOIn6I9vuB 并采取缓解措施保护您的组织免受网络攻击。 #网络安全 #信息安全 pic.twitter.com/zmADn0MgpG
— CISA Cyber(@CISACyber) 2024 年 9 月 16 日
如果不更新会发生什么?
如果您打算等待这一漏洞的出现,请再考虑一下。CISA 明确警告称,不更新可能会导致严重漏洞。由于有众多恶意行为者利用此漏洞,不采取行动的后果可能非常严重。无论是个人数据被盗、财务损失还是更糟的情况,不修补系统的风险都高得令人无法忽视。随着 Void Banshee 继续针对易受攻击的系统,所有用户采取行动的时间已经不多了。
尽管 CISA 的警告针对的是联邦机构,但私营公司和日常用户也同样容易受到攻击。如果您使用的是 Windows 系统,尤其是最近没有更新的系统,那么您就有可能成为攻击目标。微软强调了安装 7 月和 9 月补丁的重要性,以全面保护您的 PC。忽略这些更新会使您的系统容易受到黑客的攻击,黑客试图窃取敏感信息。
只剩下几周时间了,没有时间犹豫了。微软表示,这是一个关键更新,可以使您的系统更安全。如果您的 PC 自 7 月以来一直没有更新,那么您已经错过了最后期限。不要错过这个。请在 10 月 7 日之前更新您的 Windows 系统,以避免网络攻击。立即更新,否则将承担后果。MSHTML 漏洞是真实存在的,对于任何仍在运行未打补丁的 Windows 版本的人来说,时间都在流逝。不要等黑客利用您的系统。在为时已晚之前保护好您的 PC。
