微软紧急修复Office高危零日漏洞，建议用户立即应用补丁

微软于当地时间1月26日发布了紧急带外安全更新，用于修复一个被标记为高严重性、且已被攻击者利用的Microsoft Office零日漏洞（编号CVE-2026-21509）。该漏洞属于安全功能绕过漏洞，影响Office 2016、2019、LTSC 2021、LTSC 2024以及Microsoft 365商业版等多款产品。

微软表示，攻击者需通过向用户发送恶意Office文件并诱使其打开来利用此漏洞。该漏洞绕过了Microsoft 365及Office中用于防护易受攻击的COM/OLE控件的部分措施，使攻击者可在本地环境中绕过一项安全功能。

对于Office 2021、LTSC 2024及Microsoft 365用户，微软将通过服务器端变更自动提供防护，用户重启Office应用程序后即可生效。而Office 2016和2019用户需安装安全更新才能获得保护，但由于这些版本的更新尚未就绪，微软建议用户立即通过手动修改注册表来启用临时防护措施。

具体操作为：在注册表编辑器中找到对应路径（根据Office版本及系统架构不同路径有所差异），在“COM Compatibility”节点下创建名为{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}的子项，并在其中添加名为“兼容性标志”的REG_DWORD值，将其数据设置为400（十六进制）。完成修改后需退出并重新启动Office应用程序。

截至目前，微软尚未公布漏洞的发现者及攻击细节。这是自今年1月“周二补丁日”修复114个安全漏洞后，微软再次针对活跃威胁发布的紧急更新。近期该公司已多次发布带外更新，以解决补丁引发的系统关机异常、Cloud PC问题及经典版Outlook客户端卡顿等问题。