安全研究人員已發(fā)布未修補(bǔ)的Windows漏洞的詳細(xì)信息和概念驗(yàn)證(PoC)代碼，該漏洞會影響Windows處理vCard文件(VCF)的方式。

安全研究員John Page(@ hyp3rlinx)去年發(fā)現(xiàn)了該漏洞，并通過趨勢科技的Zero Day Initiative(ZDI)漏洞披露計(jì)劃向微軟報告。

雖然最初微軟在10月份表示將在本月的Patch Tuesday安全更新列車中解決VCF漏洞，但操作系統(tǒng)制造商在最后一刻改變了主意并推遲修復(fù)Windows v.Next(下一個主要版本的代號Windows操作系統(tǒng)，目前稱為19H1，將于2019年4月發(fā)布。

在修補(bǔ)程序崩潰之后，研究人員和ZDI程序維護(hù)人員都發(fā)布了有關(guān)漏洞的安全建議，以便用戶和公司可以記錄，實(shí)施緩解措施或發(fā)出內(nèi)部安全警報，直到春季可以獲得修復(fù)。

根據(jù)這兩個建議，Windows操作系統(tǒng)處理vCard文件(VCF)的方式存在漏洞。

威脅行為者可以制作顯示良性鏈接的惡意VCF，當(dāng)用戶點(diǎn)擊該鏈接時，可以觸發(fā)惡意代碼的執(zhí)行而不是查看URL。研究人員已經(jīng)發(fā)布了一個實(shí)施漏洞的演示，如下所示。

好消息是，此漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行，但無法遠(yuǎn)程利用，因?yàn)樗紫刃枰脩艚换ァ?/p>

ZDNet今天向一些惡意軟件研究人員介紹了這個零日，他們解釋說，這個漏洞可以通過可用于大規(guī)模惡意軟件分發(fā)活動的方式進(jìn)行武器化。

頁面共享的PoC要求系統(tǒng)上存在另一個輔助惡意文件，但攻擊者可以輕易地從受害者的視圖中隱藏該文件。

與往常一樣，良好的建議是不打開通過互聯(lián)網(wǎng)從未知來源收到的文件。