微軟表示將在4月份修復Windows 19H1中的漏洞

安全研究人員已發布未修補的Windows漏洞的詳細信息和概念驗證(PoC)代碼，該漏洞會影響Windows處理vCard文件(VCF)的方式。

安全研究員John Page(@ hyp3rlinx)去年發現了該漏洞，并通過趨勢科技的Zero Day Initiative(ZDI)漏洞披露計劃向微軟報告。

雖然最初微軟在10月份表示將在本月的Patch Tuesday安全更新列車中解決VCF漏洞，但操作系統制造商在最后一刻改變了主意并推遲修復Windows v.Next(下一個主要版本的代號Windows操作系統，目前稱為19H1，將于2019年4月發布。

在修補程序崩潰之后，研究人員和ZDI程序維護人員都發布了有關漏洞的安全建議，以便用戶和公司可以記錄，實施緩解措施或發出內部安全警報，直到春季可以獲得修復。

根據這兩個建議，Windows操作系統處理vCard文件(VCF)的方式存在漏洞。

威脅行為者可以制作顯示良性鏈接的惡意VCF，當用戶點擊該鏈接時，可以觸發惡意代碼的執行而不是查看URL。研究人員已經發布了一個實施漏洞的演示，如下所示。

好消息是，此漏洞可能導致遠程代碼執行，但無法遠程利用，因為它首先需要用戶交互。

ZDNet今天向一些惡意軟件研究人員介紹了這個零日，他們解釋說，這個漏洞可以通過可用于大規模惡意軟件分發活動的方式進行武器化。

頁面共享的PoC要求系統上存在另一個輔助惡意文件，但攻擊者可以輕易地從受害者的視圖中隱藏該文件。

與往常一樣，良好的建議是不打開通過互聯網從未知來源收到的文件。