IT之家 1 月 28 日消息,微软现已发布带外更新,主要修复 Office 中一项已遭黑客利用的高危零日漏洞。该漏洞编号为 CVE-2026-21509,CVSS 评分高达 7.8,攻击者可借此绕过关键安全防护,在目标系统上执行恶意代码。微软方面表示,受影响的产品包括 Microsoft Office 2016、2019、2021 以及 Microsoft 365。其中,Office 2021 和 Microsoft 365 用户已通过服务端获得自动修复,但必须重启 Office 应用后补丁才会生效。对于 Office 2016 和 2019,用户需要手动安装更新,否则设备将处于暴露状态。具体技术方面,这一漏洞属于底层设计缺陷,微软称“Office 在做出安全决策时错误信任了某些不受信任的输入数据”,因此黑客可通过构建带有恶意载荷的 Office 文档,绕过原本用于阻止不可信 COM 控件的 OLE(对象链接与嵌入)安全防护机制,一旦受害者打开恶意文件,设备便会遭远程执行恶意代码。对于暂时无法部署补丁的组织,微软提供了临时缓解方案,即通过修改注册表禁用存在风险的 COM 对象(CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}),但这只是“权宜之计”,微软提醒,对 Office 进行更新,彻底打上补丁才是唯一可靠、能够避免黑客入侵的防护方式。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,蓝鸢梦想所有文章均包含本声明。
