微软证实Office预览窗格不受此漏洞影响,因此无法被用作攻击媒介。不过,该公司尚未披露利用该漏洞发起攻击的具体技术细节。
漏洞影响范围
微软紧急发布了一项带外安全更新,修复了一个正被黑客积极利用的Office零日漏洞。这一安全补丁主要应用于多个版本的Office软件,包括Office 2016、2019、LTSC 2024以及面向企业的Microsoft 365应用套件。

漏洞技术细节
微软在其安全公告中明确指出,问题根源在于Microsoft Office安全策略流程中对不可信输入的过度依赖,这使得未经授权的攻击者能够在本地系统上绕过安全防护机制。通常,攻击者需要向用户发送一份特制的恶意Office文档,并诱使其打开。该漏洞会巧妙地规避Microsoft 365和Office内置的OLE安全保护机制,导致COM/OLE控件暴露在攻击风险之下,为恶意代码的执行创造了条件。
防护措施
微软目前已确认Office的预览窗格功能不受此漏洞影响,这意味着它并不能作为攻击的中间跳板。尽管如此,公司仍表示不会公开利用此漏洞进行攻击的详细技术信息。目前,微软的安全团队正加紧修复Office 2016和2019版本中存在的漏洞,并承诺将尽快发布正式的安全更新。
此外,微软也提供了一套临时的风险缓解方案供用户参考:
对于Office 2024及后续版本的用户,在应用程序重启后,可以通过服务端修复自动获得保护。而使用Office 2016和2019的用户,则需要安装即将发布的安全更新,或者手动修改注册表来阻止易受攻击的COM/OLE控件被调用。具体操作是为特定的COM兼容性注册表项设置Compatibility Flags DWORD值。请注意,在修改注册表之前务必进行备份,修改完成后需要重启Office应用程序才能使防护措施生效。
