微软发布关键安全更新,修复了Microsoft Office中的三个严重漏洞,这些漏洞可能允许攻击者在受影响系统上执行远程代码。这些漏洞编号为CVE-2025-53731、CVE-2025-53740和CVE-2025-53730,影响多个版本的Microsoft Office,对全球企业和个人用户构成重大安全风险。
**核心要点**
1. Office严重漏洞可通过文档预览实现代码执行
2. 所有2016-2024版Office均受影响,数百万用户面临风险
3. 补丁已于8月12日发布,应立即安装
释放后使用漏洞
新披露的漏洞源于释放后使用(use-after-free)内存损坏问题,在通用缺陷枚举(CWE)数据库中归类为CWE-416。
CVE-2025-53731和CVE-2025-53740均被评定为"严重"级别,CVSS基础评分为8.4;而影响Microsoft Office Visio的CVE-2025-53730被评定为"重要"级别,CVSS评分为7.8。这些漏洞具有相似的攻击模式,未经授权的攻击者可利用内存管理缺陷在目标系统本地执行任意代码。
技术规格显示,两个严重漏洞的CVSS向量字符串均为CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C,表明攻击复杂度低、无需特权且无需用户交互即可利用。尤其令人担忧的是,预览窗格成为CVE-2025-53731和CVE-2025-53740的攻击媒介,这意味着用户仅需预览恶意Office文档就可能遭到入侵。
受影响范围
这些漏洞影响广泛的Microsoft Office产品,包括Microsoft Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024以及32位和64位架构的Microsoft 365企业应用。Mac用户同样面临风险,Microsoft Office LTSC for Mac 2021和2024版本需要立即更新。全球企业和消费环境中数百万用户受到广泛影响。
安全研究人员0x140ce[LLMole]、李爽和Vulnerability Research Institute的willJ,以及Zscaler ThreatLabz的研究人员通过协调披露流程发现了这些漏洞。微软安全响应中心(MSRC)确认这些漏洞均未被公开披露或在野外利用,可利用性评估从"不太可能被利用"到"被利用可能性较低"不等。
| CVE编号 | 漏洞名称 | CVSS 3.1评分 | 严重等级 |
|---|---|---|---|
| CVE-2025-53731 | Microsoft Office远程代码执行漏洞 | 8.4 | 严重 |
| CVE-2025-53740 | Microsoft Office远程代码执行漏洞 | 8.4 | 严重 |
| CVE-2025-53730 | Microsoft Office Visio远程代码执行漏洞 | 7.8 | 重要 |
缓解措施
微软已为所有受影响Office版本发布全面安全更新,其中KB5002756更新针对Office 2016版本。对于较新的Office版本,更新通过Click-to-Run机制提供,详细信息可通过微软官方安全发布渠道获取。鉴于漏洞的严重性和预览窗格可能被利用的风险,企业应优先立即部署这些更新。
安全团队应建立全面的漏洞管理计划,不仅限于传统的补丁管理,还应整合威胁情报源和主动监控入侵指标(IOCs)。
扫一扫
54
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
