【安全资讯】微软发布新零日漏洞：CVE-2024-43461针对Windows MSHTML

概要：

微软在2024年9月的Patch Tuesday安全公告中，意外披露了第五个正在被积极利用的零日漏洞。该漏洞编号为CVE-2024-43461，影响Windows MSHTML平台，具有8.8的CVSS严重性评分，风险极高。

主要内容：

微软在2024年9月的Patch Tuesday安全公告中，意外披露了第五个正在被积极利用的零日漏洞CVE-2024-43461。该漏洞影响Windows MSHTML平台，允许攻击者通过伪造攻击欺骗用户，使其误以为正在与合法来源互动。该漏洞的CVSS严重性评分为8.8，表明其具有显著的利用风险。

CVE-2024-43461是Windows MSHTML平台中的一个伪造漏洞，MSHTML是Internet Explorer渲染引擎的关键组件。攻击者可以操纵MSHTML的解析行为，欺骗用户。ZDI威胁狩猎团队在2024年6月首次发现并报告了该漏洞。然而，该漏洞似乎与之前的CVE-2024-38112漏洞链有关，后者在2024年7月的安全更新中被修补。

尽管微软在2024年7月发布了CVE-2024-38112的修补程序，但攻击者似乎找到了一种绕过早期修补的方法，使用户仍然暴露在新变种的攻击中。微软在2024年9月10日发布Patch Tuesday时，Zero Day Initiative（ZDI）表达了对该漏洞未被正式列为“正在积极攻击”的担忧，尽管有证据表明它已在野外被利用。

微软敦促用户安装2024年7月和2024年9月的安全更新，以确保完全保护。CVE-2024-43461的加入使得微软在2024年9月修补的零日漏洞总数达到五个。这些漏洞涵盖了多个攻击向量，从权限提升和代码执行到绕过关键安全功能。