吳明宜微軟釋出更新修補Office的零時差漏洞CVE-2026-21509,並警告其已遭濫用。攻擊者需誘導用戶開啟惡意檔案以突破安全防護,這顯示漏洞可能被用於針對性的間諜活動。微軟建議用戶提高警覺。
微軟於本週發佈緊急更新,修補一項編號為 CVE-2026-21509 的 Microsoft Office 零時差漏洞。該漏洞可被用於繞過既有的安全防護機制,且微軟警告目前已接獲該漏洞遭惡意濫用的實際通報。
根據微軟內部安全研究人員的調查,該漏洞涉及 Microsoft Office 處理不受信任輸入時的驗證瑕疵,導致攻擊者能藉此繞過 Microsoft 365 與 Office 系統中的 OLE (Object Linking and Embedding) 緩解機制。該機制原本的作用在於確保使用者不受惡意 COM (Component Object Model) 或 OLE 控制項的侵害。
要成功發動攻擊,駭客必須誘騙目標使用者開啟特製的惡意 Office 檔案。由於攻擊過程具備高度複雜性,且需結合多階段攻擊鏈,安全專家研判此漏洞極可能被用於精準的網路間諜活動或其他高價值目標的定向攻擊,而非大規模的隨機攻擊。
受此漏洞影響的產品範圍廣泛,包含 Office 2016 、 2019 、 LTSC 2021 、 LTSC 2024 以及 Microsoft 365 Apps for Enterprise 。微軟目前已釋出相對應的修補程式。
美國網路安全暨基礎架構安全管理署 (CISA) 已迅速將此漏洞列入「已知被濫用漏洞」(KEV) 清單,並要求聯邦政府機關務必在 2 月 16 日前完成環境盤查與修補工作。
除了安裝更新,微軟指出 Microsoft Defender 已具備相關偵測機制可攔截濫用行為;此外,Office 預設的預覽窗格亦具備防護層,可阻擋來自公開網路的惡意檔案。微軟提醒使用者,作為資安最佳實務,下載來源不明的網路檔案或在啟動編輯模式時,應保持高度警覺。