最新要闻

广告

手机

警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案

警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案

票房这么火爆,如何请视障人士“看”一场电影?

票房这么火爆,如何请视障人士“看”一场电影?

家电

微软禁用MSIX在线安装协议:可欺骗用户安装恶意软件

来源:快科技

近期,微软正式宣布,为了防止恶意攻击,已禁用MSIX应用安装器的“ms-appinstaller” 协议的安装链接功能,等待漏洞解决后在开启。

据悉,MSIX是一种全新的安装包格式,可以视为现有MSI的升级版,仅支持Windows 10/11,MSIX的“ms-appinstaller”协议允许用户从服务器安装各种应用,无需先将其下载到本地。微软当时的想法是,这种方法可为用户节省存储空间。

该漏洞在去年12月的安全公告就已被披露,并且遭到公开,漏洞编号为CVE-2021-43890。

微软指出,此漏洞被用来散布Emotet、Trickbot及Bazaloader等恶意软件,攻击者可利用钓鱼邮件诱导用户点击链接,从而让用户的设备中招。

虽然此漏洞需要用户权限来执行,但如果用户账户具备管理员权限,后果更为严重。安全厂商ZDI指出,若结合权限扩张漏洞,则可能导致系统被接管。

微软建议网站管理员,如果使用了“ms-appinstaller”协议,可将下载链接中的“ms-appinstaller:?source=”移除,方便MSIX程序下载到用户设备上。

至于何时可重新使用,微软表示目前正在研究,正在测试当中,并未给出该功能恢复的时间。

关键词: 微软 Windows操作系统 漏洞 微软禁用MSIX在线安装协议: