微软紧急修复Office高危零日漏洞，已遭黑客利用

1月28日，微软紧急发布了一项带外安全更新，修复其Office办公软件中一个已被黑客利用的高危零日漏洞。该漏洞安全威胁较高，其CVSS评分为7.8分，可能允许攻击者绕过关键防护机制，进而在目标系统上远程执行恶意代码。

根据微软公告，此次漏洞影响范围广泛，涉及Microsoft Office 2016、2019、2021以及Microsoft 365等多个主流版本。其中，Office 2021和Microsoft 365用户已通过微软服务端获得自动修复，但需重启Office应用程序以使补丁生效。值得注意的是，Office 2016和2019的用户则需要手动检查并安装更新，若未及时操作，相关设备将持续暴露在安全风险之中。

从技术层面分析，该漏洞源于底层设计缺陷。微软指出，问题在于Office在处理某些不受信任的输入数据时，做出了错误的安全信任决策。攻击者可以借此精心构造恶意Office文档，绕过用于阻止不可信COM控件的OLE安全防护机制。一旦用户打开此类文档，系统便可能被植入并执行恶意代码。

对于目前无法立即部署补丁的企业或用户，微软提供了一种临时缓解措施，即通过修改注册表来禁用存在风险的特定COM对象。但官方同时强调，这仅是权宜之计，最根本、最有效的防护方式仍然是尽快为Office应用安装完整更新，以彻底消除安全隐患。