微软已发布针对 Microsoft Office 中两个重大漏洞的补丁,这些漏洞可能允许攻击者在受影响的系统上执行恶意代码。
这些漏洞被标记为CVE-2025-54910和CVE-2025-54906,于 2025 年 9 月 9 日披露,影响到该流行生产力套件的各个版本。
虽然微软目前认为这两个漏洞被利用的可能性“较小”,但它们可能导致远程代码执行,值得用户和管理员立即关注。
这些漏洞的利用方法和严重程度各不相同,其中一个漏洞被评为“严重”,另一个漏洞被评为“重要”。
严重的 Microsoft Office 漏洞
两个漏洞中较为严重的一个是CVE-2025-54910,它是一个严重等级的基于堆的缓冲区溢出漏洞。
这种漏洞被编号为 CWE-122,允许未经授权的攻击者在目标机器上本地执行任意代码。该漏洞的一个特别危险之处在于,Microsoft Office 中的预览窗格可以充当攻击媒介。
这意味着攻击者可能无需用户进行任何交互即可触发漏洞,除了用户在资源管理器窗口中接收和查看恶意文件之外。
尽管攻击是在本地执行的,但漏洞标题中的“远程”一词指的是攻击者的位置,强调他们不需要事先访问受害者的机器。
第二个漏洞CVE-2025-54906被评为重要漏洞,源于释放后使用情况,被追踪为 CWE-416。
此漏洞同样允许远程代码执行,但其利用向量与基于堆的溢出漏洞截然不同。要利用此漏洞,攻击者必须精心设计一个恶意文件,并通过社交工程手段诱导用户打开该文件。
与其他缺陷不同,预览窗格不是 CVE-2025-54906 的攻击媒介,这意味着用户必须主动接触恶意内容。
与预览窗格漏洞相比,这种对用户交互的要求是其严重性评级较低的主要原因。
缓解措施
微软已针对大多数受影响软件发布了安全更新,以修复这些漏洞。公司建议用户安装系统中已安装软件的所有更新,以确保获得全面保护。
需要注意的是,Microsoft Office LTSC for Mac 2021 和 2024 的安全更新尚未立即提供,但将很快发布。
这些更新准备就绪后,微软将通过修订 CVE 信息通知客户。鉴于远程代码执行漏洞的严重性,强烈建议用户尽快安装补丁,以降低潜在漏洞利用的风险。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
