微软紧急更新修复在野利用的 Office 零日漏洞

HackerNews 编译，转载请注明出处：

微软日前发布了紧急安全更新，用于修复一个已在野外被积极利用的Office零日漏洞，该漏洞编号为CVE-2026-21509，影响Office 2016至2024多个版本以及Microsoft 365 应用。

该漏洞属于安全机制绕过类型，波及Microsoft Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024以及企业版Microsoft 365 Apps。

根据微软的安全公告，漏洞成因在于“Microsoft Office的一项安全决策依赖了不可信的输入，使得攻击者能够借此在本地绕过安全防护。”公告确认该漏洞已被在野利用，并指出：“攻击者需要向用户发送恶意Office文件并诱使其打开。”

本次更新修复了一个可绕过Microsoft 365和Office中OLE安全保护的缺陷，该缺陷会将用户暴露于存在漏洞的COM/OLE控件。

微软已确认Office的预览窗格不受此漏洞影响，且无法作为攻击入口。不过，该公司并未披露关于利用此漏洞的攻击的技术细节。

微软正在努力解决Microsoft Office 2016和2019中的该漏洞，并宣布将尽快发布安全更新。

微软也提供了临时缓解方案以降低风险：
Office 2021及更高版本在重启应用程序后，可通过服务端修复自动获得保护。

对于Office 2016和2019版本，用户需要等待并安装即将发布的安全更新，或者立即手动修改注册表来禁用存在隐患的COM/OLE控件。具体操作涉及添加特定的COM 兼容性注册表项，并在其中设置兼容性标志DWORD值。微软提醒，在修改注册表前务必进行备份，修改后需重启Office应用程序才能使防护生效。

消息来源: securityaffairs.com：

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文