近日 
，微软微软披露了 Office 中一个未修补的披露零日漏洞  ，如果被成功利用
，最新可能导致敏感信息在未经授权的零日漏洞情况下泄露给恶意行为者 。

该漏洞被追踪为 CVE-2024-38200（CVSS 得分：7.5），数据被描述为一个欺骗漏洞，泄露影响以下版本的微软 Office：

微软在一份公告中提到：在基于网络的源码库攻击场景中 ，攻击者可以托管一个网站 ，披露或利用一个接受或托管用户提供内容的最新受攻击网站
 ，该网站包含一个特制文件专门利用该漏洞 。零日漏洞

但是数据
，攻击者无法强迫用户访问该网站。泄露相反 ，微软攻击者必须诱导用户点击一个链接 ，披露通常是最新通过电子邮件或即时通信信息中的诱导方式 ，模板下载然后说服用户打开特制文件 。

CVE-2024-38200的正式补丁预计将于8月13日正式发布。不过微软公司表示，他们已经确定了一种替代修复的方法，并已从2024年7月30日起通过 "功能飞行"（Feature Flighting）启用了该修复方法。

该公司还指出
，虽然客户已经在所有支持版本的微软Office和微软365上得到了保护，但为了最大程度的规避安全风险，用户应在最终版本的香港云服务器补丁发布后立即更新。

微软对该漏洞进行了 "不太可能被利用 "的评估
，并进一步概述了三种缓解策略--配置 "网络安全 "和 "安全漏洞"：

上周 ，Elastic 安全实验室披露Windows智能应用控制（Smart App Control）和智能屏幕（SmartScreen）存在一个设计漏洞  ，该缺陷允许攻击者在不触发安全警告的情况下启动程序
，至少自2018年以来一直在被利用
。

智能应用控制是一项基于信任的免费模板安全功能，它使用微软的应用智能服务进行安全预测 ，并利用Windows的代码完整性功能来识别和阻止不受信任的（未签名的）或潜在危险的二进制文件和应用程序 。

Elastic安全实验室认为 ，这一漏洞多年来一直被滥用，因为他们在VirusTotal中发现了多个利用此漏洞的样本 ，其中最早的服务器租用提交时间超过六年。