微软在最新的 Windows 10 和 Windows 11 系统更新中修复了一个名为 CVE-2024-38112 的零日漏洞，该漏洞由 Check Point Research 的安全专家李海飞发现，是一个高度严重的 MHTML 欺骗问题。攻击者利用该漏洞通过分发 Windows Internet 快捷方式文件（.url）来欺骗用户，诱使他们下载并启动 HTA 以安装密码窃取恶意软件。该漏洞利用了 Internet Explorer 的 mhtml: URI 处理程序，绕过默认浏览器，在 Internet Explorer 中打开 URL，从而减少安全警告，使攻击者更容易下载恶意文件。

🎯 **MHTML 欺骗漏洞:** 该漏洞利用了 Windows Internet 快捷方式文件（.url）中的 mhtml: URI 处理程序，欺骗用户打开指定的 URL。攻击者通过该漏洞可以绕过默认浏览器，在 Internet Explorer 中打开 URL，从而减少安全警告，更容易下载恶意文件。

💻 **利用 Internet Explorer 漏洞:** 攻击者利用了 Internet Explorer 浏览器的一个漏洞，该漏洞允许攻击者在 Internet Explorer 中打开指定的 URL，即使用户默认浏览器是其他浏览器。

🛡️ **微软修复措施:** 微软在最新的 Windows 10 和 Windows 11 系统更新中修复了该漏洞。建议用户尽快更新系统，以确保系统安全。

⚠️ **用户安全提醒:** 用户应提高警惕，不要打开来自未知来源的链接或文件，尤其是那些看起来像是合法的 PDF 文件，但实际上是 Windows Internet 快捷方式文件（.url）。

IT之家 7 月 11 日消息，微软公司在 7 月补丁星期二发布的 Windows 10、Windows 11 系统累积更新中，修复了追踪编号为 CVE-2024-38112 的零日漏洞。

该零日漏洞由 Check Point Research 的安全专家李海飞（Haifei Li，音译）于 2023 年 1 月发现，是一个高度严重的 MHTML 欺骗问题，有证据表明有黑客在过去 18 个月里，利用该漏洞发起恶意攻击，可以绕过 Windows 10、Windows 11 系统的安全功能。

该专家发现网络攻击者通过分发 Windows Internet 快捷方式文件（.url），以欺骗 PDF 等看起来合法的文件，用户一旦点开这些文件，就会下载并启动 HTA 以安装密码窃取恶意软件。

Internet 快捷方式文件只是一个文本文件，其中包含各种配置设置，如显示什么图标、双击时打开什么链接等信息。保存为 .url 文件并双击后，Windows 将在默认网络浏览器中打开配置的 URL。

不过攻击者发现可以通过在 URL 指令中使用 mhtml: URI 处理程序，来强制 Internet Explorer 打开指定的 URL，如下图所示：

IT之家注：MHTML 是一种 "聚合 HTML 文档的 MIME 封装" 文件，是 Internet Explorer 中引入的一种技术，可将包括图像在内的整个网页封装成一个单一的档案。

攻击者使用 mhtml: URI 启动 URL 后，Windows 会自动在 Internet Explorer 中启动 URL，而不是默认浏览器。

漏洞研究人员 Will Dormann 称，在 Internet Explorer 中打开网页会给攻击者带来额外的好处，下载恶意文件时安全警告较少。

尽管微软早在两年前就宣布停止支持该浏览器，并以 Edge 代替其所有实用功能，但这款过时的浏览器仍可被恶意调用和利用。