微软Office被曝高危漏洞：可远程执行恶意代码

微软近日发布安全更新，修复了 Microsoft Office 中的两个严重漏洞，这些漏洞可能被攻击者利用在受影响系统上执行恶意代码。两个漏洞分别编号为 CVE-2025-54910 和 CVE-2025-54906，并于 2025 年 9 月 9 日正式披露，涉及多个版本的 Office 办公套件。

其中，CVE-2025-54910 被评为“严重”级别，是一个堆缓冲区溢出漏洞（CWE-122）。该漏洞允许攻击者在本地执行任意代码，危险之处在于即使用户没有主动打开文件，也可能在资源管理器的预览窗格中被触发。这意味着仅仅接收并查看恶意文件，就可能导致系统被入侵。由于攻击者无需预先控制受害者的机器，这类攻击被视为远程代码执行，危害极大。

第二个漏洞 CVE-2025-54906 属于“重要”级别，源于一个 Use-After-Free 内存错误（CWE-416）。与前一个漏洞不同，它的利用需要用户实际打开恶意文件，因此攻击者往往会结合社会工程学手段诱骗用户点击。这一漏洞同样可能导致远程代码执行，但由于需要用户交互，被评估为相对较低的风险。

微软在公告中表示，目前两项漏洞的利用可能性被评估为“较低”，但鉴于远程代码执行的高危性质，用户和管理员仍需立即采取措施，安装最新补丁，以免系统暴露在潜在攻击风险中。

目前，大多数 Office 版本已获得更新，但 Office LTSC for Mac 2021 和 2024 的修复尚未立即提供，微软计划稍后发布，并会在更新 CVE 信息时通知用户。需要注意的是，任何未及时更新的环境都可能成为攻击目标。

微软提醒用户，应确保系统启用自动更新或尽快手动检查并安装补丁，以最大限度降低攻击风险。