360发现漏洞：可通过Office文档入侵Windows设备

国内奇虎360安全团队近日在IE浏览器中发现了零日安全漏洞，允许黑客使用包含恶意代码的Office办公文档入侵Windows设备。从目前披露的文件中，团队可能使用了嵌入IE页面的Office文档中的漏洞，从远程服务器上加载恶意代码并使用高级技术来避免被WindowsDefender等安全软件检测到。

360安全团队专家解释道之所以能够成功入侵，还依靠了非常复杂的算法，使用公共方式绕过UAC（UserAccountControl），并使用了文件隐写和内存反射加载等方式确保能够入侵目标主机。

从目前披露的安全公告来看，所有IE版本都存在这个漏洞，而且不分Windows版本和Office版本。包括Office2016和Windows10平台也证实存在漏洞。

哪怕目标设备并不适用IE浏览器，但是在Windows系统中如果有调用IE浏览器引擎的引擎同样也可以被入侵。奇虎360团队表示目前已经向微软报告，但是目前微软并未发布相关的补丁。预计会在下个月的补丁星期二活动中上线。