微软安全团队近日确认,Office应用程序存在一项严重的安全漏洞,已被网络攻击者主动利用。
根据通用漏洞评分系统评估,该漏洞危险系数高达7.8分,属于高危级别,对全球数亿Office用户构成直接威胁。
从技术层面看,这一漏洞源于Office在处理安全决策时的设计缺陷。
微软官方指出,问题根源在于Office错误地信任了某些不受信任的输入数据,导致原本用于防护不可信COM控件的OLE对象链接与嵌入安全机制被成功绕过。
攻击者利用这一缺陷,可以构建包含恶意代码的Office文档,当用户打开该文件时,恶意代码便会在系统权限下自动执行,从而实现对目标计算机的远程控制。
在影响范围方面,微软确认Office 2016、Office 2019、Office 2021以及Microsoft 365订阅版本均受此漏洞影响。
这意味着无论是使用本地安装版本还是云端订阅服务的用户,都面临潜在的安全风险。
值得注意的是,不同版本的修复方式存在差异。
Office 2021和Microsoft 365用户已通过服务端获得自动修复,但需要重启Office应用才能使补丁生效。
而Office 2016和2019用户则需要主动下载并安装更新补丁,否则设备将长期处于漏洞暴露状态。
针对暂时无法立即部署补丁的组织机构,微软提供了临时缓解措施。
用户可以通过修改系统注册表,禁用存在风险的COM对象,其标识符为CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}。
然而,微软明确指出这仅是权宜之计,并不能从根本上消除安全隐患。
从网络安全防护的角度看,这次漏洞事件再次凸显了及时更新的重要性。
微软强调,对Office进行补丁更新是唯一可靠、能够彻底避免黑客入侵的防护方式。
安全专家建议,企业和个人用户应当尽快检查自身Office版本,并按照微软官方指导及时安装相应补丁。
对于IT管理人员而言,应当优先为Office 2016和2019用户部署更新,确保整个组织的信息系统安全。
此次漏洞事件再次敲响数字化办公的安全警钟。
在网络安全威胁日益专业化的今天,软件厂商与用户需形成联防联控机制——前者持续优化产品安全架构,后者则要摒弃"重功能轻安全"的传统思维。
只有将"漏洞修复即战斗力"的理念贯穿信息化建设全过程,才能筑牢数字经济时代的防御基石。