微軟緊急修補已遭利用的Office零日漏洞
漏洞概述
微軟於1月26日公告修補位於Office中、已遭實際利用的CVE-2026-21509零日漏洞。該漏洞可讓攻擊者透過誘騙使用者開啟惡意Office檔案,進而繞過既有安全機制。
漏洞風險與影響
此漏洞被美國網路安全暨基礎設施安全局(CISA)納入已遭利用漏洞(Known Exploited Vulnerabilities, KEV)目錄,要求政府機構在2月16日以前完成修補。
攻擊手法與範圍
- 攻擊者必須向使用者發送惡意文件,並誘使他們開啟附件中的Word或Office檔案。
- 惡意檔案一旦被開啟,將觸發漏洞,讓攻擊者繞過Office的防護機制,進而執行惡意程式碼。
- 該漏洞的CVSS評分為7.8,屬於高危級別,被視為嚴重安全威脅。
相關資訊與補救
微軟已發布帶外更新(Out-of-Band Update)來修復此漏洞,確保使用者能迅速獲得安全修補。
針對使用Office 2016或2019的用戶,微軟提醒需手動更新以確保安全。
目前已有來自中東與南亞地區的攻擊事件被報告,顯示此漏洞已被實際利用。