漏洞影响范围
微软发布带外安全更新,修复了一个正在被积极利用的Office 0Day漏洞(CVE-2026-21509)。该安全功能绕过漏洞影响多个Office版本,包括Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024以及Microsoft 365企业应用。
漏洞技术细节
微软在安全公告中确认:"Microsoft Office安全决策过程中对不可信输入的依赖,使得未经授权的攻击者可在本地绕过安全功能。攻击者需向用户发送恶意Office文件并诱使其打开。"该漏洞会绕过Microsoft 365和Office中的OLE安全保护机制,使COM/OLE控件暴露在攻击风险中。
防护措施
微软证实Office预览窗格不受影响,无法作为攻击媒介。但该公司未披露利用该漏洞攻击的具体技术细节。目前微软正着手修复Office 2016和2019中的漏洞,承诺将尽快发布安全更新。
微软提供了降低风险的缓解方案:
- Office 2021及后续版本在应用重启后可通过服务端修复自动获得保护
- Office 2016和2019需安装即将发布的安全更新,或手动修改注册表以阻止易受攻击的COM/OLE控件
- 具体操作为添加特定的COM兼容性注册表项并设置Compatibility Flags DWORD值
- 用户修改注册表前应进行备份,修改后需重启Office使防护生效