微软表示将在4月份修复Windows 19H1中的漏洞

安全研究人员已发布未修补的Windows漏洞的详细信息和概念验证(PoC)代码，该漏洞会影响Windows处理vCard文件(VCF)的方式。

安全研究员John Page(@ hyp3rlinx)去年发现了该漏洞，并通过趋势科技的Zero Day Initiative(ZDI)漏洞披露计划向微软报告。

虽然最初微软在10月份表示将在本月的Patch Tuesday安全更新列车中解决VCF漏洞，但操作系统制造商在最后一刻改变了主意并推迟修复Windows v.Next(下一个主要版本的代号Windows操作系统，目前称为19H1，将于2019年4月发布。

在修补程序崩溃之后，研究人员和ZDI程序维护人员都发布了有关漏洞的安全建议，以便用户和公司可以记录，实施缓解措施或发出内部安全警报，直到春季可以获得修复。

根据这两个建议，Windows操作系统处理vCard文件(VCF)的方式存在漏洞。

威胁行为者可以制作显示良性链接的恶意VCF，当用户点击该链接时，可以触发恶意代码的执行而不是查看URL。研究人员已经发布了一个实施漏洞的演示，如下所示。

好消息是，此漏洞可能导致远程代码执行，但无法远程利用，因为它首先需要用户交互。

ZDNet今天向一些恶意软件研究人员介绍了这个零日，他们解释说，这个漏洞可以通过可用于大规模恶意软件分发活动的方式进行武器化。

页面共享的PoC要求系统上存在另一个辅助恶意文件，但攻击者可以轻易地从受害者的视图中隐藏该文件。

与往常一样，良好的建议是不打开通过互联网从未知来源收到的文件。