漏洞影响范围

微软发布带外安全更新，修复了一个正在被积极利用的Office 0Day漏洞（CVE-2026-21509）。该安全功能绕过漏洞影响多个Office版本，包括Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024以及Microsoft 365企业应用。

漏洞技术细节

微软在安全公告中确认："Microsoft Office安全决策过程中对不可信输入的依赖，使得未经授权的攻击者可在本地绕过安全功能。攻击者需向用户发送恶意Office文件并诱使其打开。"该漏洞会绕过Microsoft 365和Office中的OLE安全保护机制，使COM/OLE控件暴露在攻击风险中。

防护措施

微软证实Office预览窗格不受影响，无法作为攻击媒介。但该公司未披露利用该漏洞攻击的具体技术细节。目前微软正着手修复Office 2016和2019中的漏洞，承诺将尽快发布安全更新。

微软提供了降低风险的缓解方案：

• Office 2021及后续版本在应用重启后可通过服务端修复自动获得保护
• Office 2016和2019需安装即将发布的安全更新，或手动修改注册表以阻止易受攻击的COM/OLE控件
• 具体操作为添加特定的COM兼容性注册表项并设置Compatibility Flags DWORD值
• 用户修改注册表前应进行备份，修改后需重启Office使防护生效

参考来源：

Emergency Microsoft update fixes in-the-wild Office zero-day

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）