WPS曝出兩個高危漏洞 所有用戶需盡快升級

經(jīng)典辦公軟件WPS Office近日被ESET披露存在兩個高危安全漏洞，編號分別為CVE-2024-7262和CVE-2024-7263，CVSS評分高達9.3。

鑒于漏洞的嚴重性，建議所有WPS用戶立即升級到最新版本（12.2.0.17153或更高版本）。

安全研究人員發(fā)現(xiàn)CVE-2024-7262漏洞已被利用，攻擊者通過分發(fā)帶有惡意代碼的電子表格文檔來觸發(fā)該漏洞，實現(xiàn)“單擊即中”的遠程代碼執(zhí)行攻擊，可能導致數(shù)據(jù)失竊、勒索軟件感染或更嚴重的系統(tǒng)破壞。

漏洞位置均在WPS Office的promecefpluginhost.exe組件中，由于不恰當?shù)穆窂津炞C，攻擊者能夠加載并執(zhí)行任意的Windows庫文件。

盡管金山軟件針對CVE-2024-7262發(fā)布了補丁版本12.2.0.16909，但很快被發(fā)現(xiàn)修復不徹底，CVE-2024-7263漏洞利用了修復過程中忽略的參數(shù)，使攻擊者能夠繞過安全措施。

除了更新軟件版本外，用戶近期最好不打開來源不明的文件，尤其是可能含有惡意代碼的電子表格和文檔。

此外還有未經(jīng)證實的消息表示，可能只有WPS國際版受到影響，國內(nèi)版本或不受影響，但出于安全考慮，還是建議升級到最新版本。