windows10的粉丝们已经对一个致使网络犯罪分子窃取他们的用户名和密码的严重漏洞提出警告。

该漏洞影响微软的Outlook软件，攻击者可以利用它窃取Windows登录凭证。

黑客可以通过说服受害者预览包含远程托管的OLE对象的富文本电子邮件来访问这些敏感信息。

一旦完成，该漏洞不需要与用户进行任何额外的交互。

OLE是由Microsoft开发的技术，允许嵌入和链接到文档和其他对象。

该漏洞最早在2016年11月被报告，但微软已经花了一年多的时间来解决这个问题。

为确保您没有风险，请确保您下载最新的补丁星​​期二版本。

在一篇描述漏洞的官方文章中，微软表示：“当Office呈现包含OLE对象的Rich Text Format（RTF）电子邮件消息时，存在一个信息泄露漏洞，当消息被打开或预览时。

“此漏洞可能会导致将敏感信息泄露给恶意网站。

“要利用此漏洞，攻击者必须将RTF格式的电子邮件发送给用户并说服用户打开或预览电子邮件。

“然后可以自动启动到远程SMB服务器的连接，使攻击者能够暴力攻击相应的NTLM挑战和响应，以揭示相应的散列密码。

“该安全更新通过更正Office处理OLE对象的方式来解决漏洞。”

消息传出上个月后，windows10用户被警告关于另一个安全问题。

该严重漏洞使网络犯罪分子利用微软的Windows远程协助功能从受害者的计算机上窃取任何文件。

这些可能包含敏感数据的文件可能在没有受害者了解的情况下被盗取。

漏洞影响迄今为止所有版本的Windows，包括windows10，Windows 8.1，Windows 7和Windows XP。

Nabeel Ahmed发现该漏洞是趋势科技零日行动计划的一部分。

艾哈迈德在一篇博文中解释说，为了使漏洞被利用，受害者需要使用Windows远程协助来寻求其他用户的帮助。

请求协助的人需要通过电子邮件或其他方式向第三方发送名为“Invitation.msrcincident。”的文件。

网络犯罪分子可以利用这个文件来确保他们可以访问受害者的敏感数据。

艾哈迈德表示，黑客可能通过大规模网络钓鱼骗局欺骗受害者移交该文件。

趋势科技专家在网上发布的一篇文章中表示：“这种XXE漏洞可以真正用于大规模网络钓鱼攻击，针对的人认为他们确实在帮助另一个遇到IT问题的人。

“完全不知道.msrcincident邀请文件可能会导致敏感信息丢失。

“攻击者可以锁定包含用户名/密码的特定日志/配置文件。

“GDSSecurity还通过蛮力强制某些目录位置，实现了自动化XXE多个文件渗透的工具。”

微软在3月份发布的补丁星期二版本中解决了这个问题。