4月10日讯 安全研究人员指出，攻击者正利用Microsoft Word中先前未披露的漏洞秘密安装各种恶意软件，即便电脑打了安全补丁，也无济于事。

与大多数文档相关的漏洞不同，这个尚未修复的零日漏洞并不依赖宏。因为在打开启动宏的文件时，Office通常会警告用户这类文件存在风险，而该漏洞“机智”的避开了这一点。

相反，受害者打开任意一个欺骗性Word文档时就会触发该漏洞。欺骗性Word文档从服务器下载一个恶意HTML应用程序，伪装成富文本文档作为诱饵，该恶意HTML应用程序就会下载并运行恶意脚本，秘密安装恶意软件。

McAfee的研究人员上周五首次发布漏洞报告，并称，由于HTML应用是可执行的，攻击者可以在受感染的电脑上运行代码，同时还能避开基于内存的缓解措施（旨在阻止这些攻击）。

安全公司FireEye上周六也发布了类似的报告。

FireEye称，之所以推迟公开披露，是因为公司在跟微软协调相关工作。该漏洞与Windows 对象连接与嵌入（OLE）功能有关，OLE功能允许应用程序连接并嵌入内容到其它文档，主要用于Office和Windows的内置文档查看器WordPad。过去几年OLE功能一直是众多漏洞的原因所在。

研究人员指出，所有Office版本中都存在该漏洞，并且能被利用，包括Windows 10运行的最新版Office 2016。自1月以来，就出现利用该漏洞的攻击。

目前尚不清楚，微软是否会在“周二补丁日”修订该零日漏洞。