北京
微软近日披露其Office生态系统中存在一个严重远程代码执行漏洞,攻击者仅需诱导用户打开一个特制的Excel文件,即可在目标系统上运行任意代码,完全控制设备。该漏洞编号为CVE-2025-60727,影响包括Microsoft 365 Apps、Excel 2016、Office 2019、Office LTSC 2021、Office LTSC 2024及Office Online Server在内的多个主流版本,覆盖企业及个人用户的海量终端。 漏洞属于越界读取(CWE-125)类型,根源在于Excel解析文件结构时对长度和偏移值校验不足。当受害者打开恶意构造的Excel文档时,程序会读取超出预期缓冲区范围的内存数据,攻击者可精心布局文件结构,利用这些泄露的内存信息操纵程序执行流,最终实现任意代码执行。尽管利用需要用户交互,但整个过程无需身份验证或高权限,使其极易嵌入钓鱼攻击链——例如伪装成紧急发票、业务报表的钓鱼邮件,一旦附件被打开,后台便会静默执行恶意代码。 安全专家警告,文档类漏洞是钓鱼攻击的经典突破口,用户应避免打开未知来源的Excel文件,尤其是通过邮件或即时通讯工具收到的未经请求的附件。微软已在最新安全更新中修复该问题,强烈建议所有用户立即安装补丁,并启用Microsoft 365的自动更新功能。企业用户还应结合受保护视图、应用程序防护等防御措施,降低被攻破的风险。此次事件再次印证,看似无害的办公文档,依然可能成为数字世界中的致命陷阱。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
