江苏
关键词
安全漏洞
微软近日发布安全更新,修复了 Microsoft Office 中的两个严重漏洞,这些漏洞可能被攻击者利用在受影响系统上执行恶意代码。两个漏洞分别编号为 CVE-2025-54910 和 CVE-2025-54906,并于 2025 年 9 月 9 日正式披露,涉及多个版本的 Office 办公套件。
其中,CVE-2025-54910 被评为“严重”级别,是一个堆缓冲区溢出漏洞(CWE-122)。该漏洞允许攻击者在本地执行任意代码,危险之处在于即使用户没有主动打开文件,也可能在资源管理器的预览窗格中被触发。这意味着仅仅接收并查看恶意文件,就可能导致系统被入侵。由于攻击者无需预先控制受害者的机器,这类攻击被视为远程代码执行,危害极大。
第二个漏洞 CVE-2025-54906 属于“重要”级别,源于一个 Use-After-Free 内存错误(CWE-416)。与前一个漏洞不同,它的利用需要用户实际打开恶意文件,因此攻击者往往会结合社会工程学手段诱骗用户点击。这一漏洞同样可能导致远程代码执行,但由于需要用户交互,被评估为相对较低的风险。
微软在公告中表示,目前两项漏洞的利用可能性被评估为“较低”,但鉴于远程代码执行的高危性质,用户和管理员仍需立即采取措施,安装最新补丁,以免系统暴露在潜在攻击风险中。
目前,大多数 Office 版本已获得更新,但 Office LTSC for Mac 2021 和 2024 的修复尚未立即提供,微软计划稍后发布,并会在更新 CVE 信息时通知用户。需要注意的是,任何未及时更新的环境都可能成为攻击目标。
微软提醒用户,应确保系统启用自动更新或尽快手动检查并安装补丁,以最大限度降低攻击风险。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
