3月9日?qǐng)?bào)道，全球知名網(wǎng)絡(luò)安全公司Akamai發(fā)布報(bào)告稱，微軟Win 10和Win 11操作系統(tǒng)內(nèi)存在編號(hào)為CVE-2024-21320的嚴(yán)重漏洞。這一漏洞CVSS評(píng)分為6.5，給攻擊者提供了遠(yuǎn)程利用特制.theme主題文件進(jìn)行代碼執(zhí)行的機(jī)會(huì)。

據(jù)悉，微軟Windows資源管理器默認(rèn)情況下會(huì)預(yù)先載入.theme主題的縮略文件，使得攻擊者有機(jī)可乘。攻擊者只需通過(guò)相關(guān)主題縮略文件參數(shù)讓資源管理器連接惡意命令行UNC路徑，即可實(shí)現(xiàn)代碼的遠(yuǎn)程執(zhí)行。

然而值得注意的是，微軟已于2024年1月份的Windows 10及Win 11累計(jì)更新中修復(fù)了此問(wèn)題。其補(bǔ)丁采用路徑驗(yàn)證、系統(tǒng)策略控制以及增加“DisableThumbnailOnNetworkFolder”注冊(cè)表項(xiàng)等方式，以降低惡意攻擊風(fēng)險(xiǎn)。