3月9日報道，全球知名網(wǎng)絡(luò)安全公司Akamai發(fā)布報告稱，微軟Win 10和Win 11操作系統(tǒng)內(nèi)存在編號為CVE-2024-21320的嚴(yán)重漏洞。這一漏洞CVSS評分為6.5，給攻擊者提供了遠(yuǎn)程利用特制.theme主題文件進行代碼執(zhí)行的機會。

據(jù)悉，微軟Windows資源管理器默認(rèn)情況下會預(yù)先載入.theme主題的縮略文件，使得攻擊者有機可乘。攻擊者只需通過相關(guān)主題縮略文件參數(shù)讓資源管理器連接惡意命令行UNC路徑，即可實現(xiàn)代碼的遠(yuǎn)程執(zhí)行。

然而值得注意的是，微軟已于2024年1月份的Windows 10及Win 11累計更新中修復(fù)了此問題。其補丁采用路徑驗證、系統(tǒng)策略控制以及增加“DisableThumbnailOnNetworkFolder”注冊表項等方式，以降低惡意攻擊風(fēng)險。