微软紧急修复Office软件0day高危漏洞CVE-2026-21509
微软证实Office预览窗格不受此漏洞影响,因此无法被用作攻击媒介。不过,该公司尚未披露利用该漏洞发起攻击的具体技术细节。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
漏洞影响范围
微软紧急发布了一项带外安全更新,修复了一个正被黑客积极利用的Office零日漏洞。这一安全补丁主要应用于多个版本的Office软件,包括Office 2016、2019、LTSC 2024以及面向企业的Microsoft 365应用套件。
漏洞技术细节
微软在其安全公告中明确指出,问题根源在于Microsoft Office安全策略流程中对不可信输入的过度依赖,这使得未经授权的攻击者能够在本地系统上绕过安全防护机制。通常,攻击者需要向用户发送一份特制的恶意Office文档,并诱使其打开。该漏洞会巧妙地规避Microsoft 365和Office内置的OLE安全保护机制,导致COM/OLE控件暴露在攻击风险之下,为恶意代码的执行创造了条件。
防护措施
微软目前已确认Office的预览窗格功能不受此漏洞影响,这意味着它并不能作为攻击的中间跳板。尽管如此,公司仍表示不会公开利用此漏洞进行攻击的详细技术信息。目前,微软的安全团队正加紧修复Office 2016和2019版本中存在的漏洞,并承诺将尽快发布正式的安全更新。
此外,微软也提供了一套临时的风险缓解方案供用户参考:
对于Office 2024及后续版本的用户,在应用程序重启后,可以通过服务端修复自动获得保护。而使用Office 2016和2019的用户,则需要安装即将发布的安全更新,或者手动修改注册表来阻止易受攻击的COM/OLE控件被调用。具体操作是为特定的COM兼容性注册表项设置Compatibility Flags DWORD值。请注意,在修改注册表之前务必进行备份,修改完成后需要重启Office应用程序才能使防护措施生效。
相关攻略
F5公司已发布解决方案指南,强烈建议各组织立即遵循最新缓解步骤。 美国网络安全和基础设施安全局(CISA)已将新披露的F5 BIG-IP系统漏洞纳入其已知已利用漏洞(KEV)目录,警告该漏洞正在真实
该漏洞源于Angular处理国际化(i18n)安全敏感HTML属性的方式。虽然Angular默认提供强大的内置净化机制来自动清理恶意输入,但当应用为敏感属性启用国际化时,这一关键保护会被绕过。 漏洞
Ubuntu 安全团队在公开发布前通过将 Ubuntu 25 10 的默认 rm 命令恢复为 GNU coreutils 缓解了风险,上游修复已应用于 uutils 代码库。 漏洞概述Ubuntu
本文讲述国外白帽小哥如何从一个简单且超出范围的漏洞入手,被严格WAF拦截后,等待2个半月学习新技能,最终将其升级为高危9 3分反射型XSS(跨站脚本)的全过程。 在漏洞众测中,耐心是最有用的武器,有
该漏洞源于不当的访问控制机制,使得相邻网络中的未认证攻击者能够拦截敏感配置文件,并在基于网络的操作系统部署过程中执行任意代码。 微软宣布将分两个阶段禁用Windows部署服务(WDS)中的无人值守部
热门专题
热门推荐
鲁大师软件管家可安全升级常用软件:一、启动后点击顶部“软件管家”选项卡自动扫描;二、在“可升级软件”列表点击绿色“升级”按钮确认安装;三、勾选多个软件后点“批量升级”按钮并发处理;
3月29日,北京已在全国率先启动智能网联新能源汽车商业保险产品开发应用。新产品基本沿用现有的新能源商业车险体系,按照“总体稳定、部分优化”的原则,主要为消费者和汽车企业关心的特定智驾场景、软硬件损失
预计苹果今年将发布两款新的 iPhone 应用,包括 Apple Business 应用和一款具备类似聊天机器人功能的 Siri 应用。借助 Apple Business 应用,使用全新 Apple
据 Axios 报道,苹果公司已聘请前谷歌副总裁 Lilian Rincon 担任人工智能产品营销副总裁。加入苹果之前, Rincon 曾任谷歌购物产品副总裁。在苹果, Rincon 将负责苹果所有
3月29日消息,谁能料到前段时间奥迪车主与雷军之间的那个打赌,竟然还有后续。这到底是咋回事?事情发生在3月25日,网友@单手开吉利 在雷军的微博评论区晒出了自己去年10月刚提的奥迪车,还当场立下一个