微软发布Office套件中没有修正的安全漏洞 补丁将在下周二发布

通常状况下微软会在缝隙得到修正后才发布缝隙和相关阐明，本次这个缝隙状况稍微有些古怪，现在没有得到修正微软就发布了缝隙状况。

CVE-2024-38200 缝隙 CVSS 评分为 7.5/10 分，首要影响 Microsoft Office 系列软件，进犯者能够拐骗用户拜访特制网站触发缝隙，运用缝隙进犯者能够盗取灵敏信息。

受影响的版别包括：

• Microsoft Office 2016 32/64 位版
• Microsoft Office 2021 32/64 位版
• Microsoft Office 2019 32/64 位版
• Microsoft 365 企业运用 32/64 位版

微软在缝隙阐明中表明：

在根据网络的进犯场景中，进犯者能够在网站上保管包括运用该缝隙的特制文件，但进犯者无法逼迫用户拜访该网站，相反进犯者有必要压服用户点击链接，通常是经过电子邮件或即时通讯东西进行诱导，然后诱惑用户翻开特制文件。

虽然现在缝隙补丁还未发布，但微软现现已过服务器布置了一种代替修正程序，该修正程序于 7 月 30 日发布，现在应该现已完结推送，因而大多数用户不需要忧虑该缝隙。

而正式的修正补丁将在 2024 年 8 月 13 日发布，到时候修正程序会跟从 Windows 更新一同推送装置，完结更新后即可封堵该缝隙阻挠黑客持续运用。

微软还将该缝隙标记为不太可能运用，一起供给三种暂时缓解计划：

装备网络安全：约束 NTLM 到长途服务器的传出 NTLM 流量，这种方法首要能够在服务器上阻挠拜访传出流量

将用户添加到受维护的用户组，该方法能够避免运用 NTLM 作为身份验证机制进行进犯

运用外部防火墙、本地防火墙和 VPN 加密地道阻挠从网络出站的 TCP 445 / SMB 流量，这能够避免将 NTLM 身份验证音讯发送长途文件同享