微软针对被主动利用的 Microsoft Office 零日漏洞发布带外补丁程序

微软发布了 带外安全更新以解决影响 Microsoft Office 的一个被主动利用的零日漏洞，这给本已动荡不安的 2026 年 1 月更新周期增添了更大的压力，而 Windows 11 系统也出现了严重的稳定性问题。

据微软安全响应中心称，该漏洞被归类为 "在微软Office的安全决策中依赖不受信任的输入 "而导致的安全功能绕过，被追踪为CVE-2026-21509。成功利用该漏洞后，攻击者可以在本地绕过 Office 安全保护措施，特别是旨在阻止易受攻击的 COM 和 OLE 控件的 OLE 缓解措施。

微软已将该漏洞的 CVSS v3.1 得分为 7.8，并确认该漏洞正在被恶意利用。虽然该公司没有披露攻击的技术细节，但它指出，利用漏洞需要用户交互，攻击者需要说服受害者打开特制的 Office 文件。预览窗格不是攻击载体。

运行 Office 2021 及更新版本的系统会通过服务端变更自动受到保护，但用户必须重新启动 Office 应用程序才能使缓解措施生效。但是，使用 Office 2016 和 Office 2019 的客户在安装最新的安全更新之前不会受到保护。 安装最新的安全更新.微软还提供了一个基于注册表的解决方法，可以立即应用于受影响的系统，在打补丁之前阻止漏洞的利用。

该漏洞已被添加到网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency）维护的已知漏洞目录（Known Exploited Vulnerabilities catalog）中，该机构要求美国联邦机构在 2026 年 2 月 16 日前应用更新。

本月早些时候 Windows 11 安全更新 KB5074109安全更新 KB5074109 与大范围的稳定性问题以及某些系统出现 UNMOUNTABLE_BOOT_VOLUME 启动失败的报告有关，这凸显了近期 Windows 和 Office 更新日益脆弱的状态。