【安全资讯】微软紧急发布Office零日漏洞补丁，CVE-2026-21509已被在野利用

概要：

在网络安全威胁日益严峻的背景下，微软近期确认其Office办公软件中存在一个已被在野利用的零日漏洞，并紧急发布了带外安全补丁。该漏洞编号为CVE-2026-21509，属于安全功能绕过类别，攻击者可利用其诱骗用户打开恶意文档，从而绕过关键安全防护，对全球大量使用Office的企业和政府机构构成严重威胁。

主要内容：

该漏洞被追踪为CVE-2026-21509，CVSS评分为7.8分，其核心问题在于Office软件在做出安全决策时，错误地依赖了不可信的输入。这导致攻击者能够绕过旨在阻止运行不安全旧版组件（如COM和OLE）的本地安全功能。这些组件是多年来基于文档攻击的核心载体。

与以往一些依赖Office预览窗格的攻击不同，此次漏洞利用需要用户被诱导打开特制的恶意Office文件。一旦文件被打开，攻击者即可相对轻松地实现安全功能绕过。该漏洞影响范围广泛，波及从Office 2016、2019到LTSC版本以及Microsoft 365 Apps for Enterprise的大多数当前版本。

微软已为较新版本提供了更新，但Office 2016和2019的用户仍需等待修复程序。作为临时缓解措施，微软建议通过修改Windows注册表，手动阻止易受攻击的COM和OLE控件，然而这种方案对于大型组织而言难以大规模一致部署。美国网络安全和基础设施安全局已迅速将该漏洞列入其已知被利用漏洞目录，并要求联邦文职行政机构在2月16日前完成修补。